KOMMUNERNES IT MAGASIN
Kit
Nr. 03 juni 2011 ISSN 1399-7947
magasinet
KMD scorer 170 mio. kr. på SKI-aftale 15 kommuner samlet i KL-udbud FLIS bakkes op af 81 kommuner
Tema: 16 sider om informationssikkerhed
KIT magasinet 03_juni 11_side 1
Mange bĂŚkke smĂĽ giver 24 milliarder Skyd genvej til offentlige besparelser via digital koncernstyring med KMD. Effektivisering og bedre service til borgerne kan blive to sider af samme sag.
Telefon 4460 1000 www.kmd.dk
1 Indhold
Kronik: Informationssikkerhedstruslen anno 2013
Side 6
2
5
nummer 3 · juni 2011
KMD vinder ordrer for 170 mio. kr. på SKI-aftale
36
81 kommuner bakker op om FLIS Side 10
Side 14
Tema: 16 sider om informationssikkerhed Side 16-31
Risikovurdering går hånd i hånd med sund fornuft
KOMMUNERNES IT MAGASIN
Kit@
Udgiver: KIT@ - Kommunale It chefer. Formand: Jørgen Kristensen Egedal Kommune For information om foreningen, medlemskab samt abonnement se www.itchefer.dk
Redaktion: Flemming Kjærsdam, telefon 4673 3525 Flemming@kjaersdam.dk
Annoncekonsulent: Louise Andersen, Koncept, telefon 7515 1155, la@koncept-net.dk
Redaktionsudvalg: Jørgen Kristensen, Egedal Kommune Michael Voel Jensen, Københavns Kommune Flemming Kjærsdam Louise Andersen
Layout: www.znildt.dk Forsidefoto: Colourbox Tryk: Jørn Thomsen A/S Oplag: 7.000
It-risikostyring It-ris sikostyring og beredsk beredskabsplanlรฆgning kabsplanlรฆg gning ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ฦกย ย ย ย ย ย ย ยคย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยง ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ฦกย ย ย ย ย ย ย ยคย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย วค ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย วค
Risk
BCP
It-risikostyring It-risikost tyring
Beredskab Beredsk kab og it-beredskab
ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ฦขยงย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ฦขยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย til jeres it-s it-systemer. ystemer.
ยค ย ย ย ย ย ย ยค ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ร ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ร ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ฦกย ย ย ย ย ย วค ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ฦกย ย ย ย ย ย ย วค
Sรฅdan Sรฅda an efterlever du kravene i ISO O 27001 ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ร ย ย ย อ อ อ อ อ ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ร ย ย ย อ อ อ อ อ ศ ย ศ ย ย ย ย ยงย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย ยฑย วก ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย ยฑย วก ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ยฑย ย ย ย ย ย ย วก ย ร ย ย ย ย ย ยค ย ย ย ย ย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ยฑย ย ย ย ย ย ย วก ย ร ย ย ย ย ย ย ยค ย ย ย ย ย ย ย ย ย Sรฅdan Sรฅda an kommer du videre fra DS 484 4 mber i LLyngby yngby og 6. oktober i ร rhus. ร 27. septem september
ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ร ย ย ย ย ย ย ย ย ศ ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ร ย ย ย ย ย ย ย ย ศ ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย virksomheden virkksomheden stille? arder Prรฆsentation Prรฆ รฆsentation af relevante stand standarder septemb ber i LLyngby yngby og 13. septembe er i ร rhus. 1. september september
D Deltagelse er gratis. Lรฆss mere og tilmeld dig pรฅ www www.neupart.dk/seminarer w.neupart.dk/semin . narer Vi serr frem til at byde dig velkommen. velk kommen.
Om Neupartt ย ย ย ย ย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วค ย ย ยค ย ย ย ย ย ย วจ ย ย ย ย ย ย ย ย ยง ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วค ย ย ยค ย ย ย ย ย ย วจ ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ร ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ร ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย ย วก ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วค ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย ย วก อ อ อ อ อ วฆวก อ อ อ วฆวก ย ย ย ย ย วฆ ย ย วฆย ย ย ย ย ย ย ย ย วค ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ยงย ย ย ย ยงย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วค ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย ย วฆย ย ย ย ย ย ย ย ย วก อ อ อ อ อ วฆวก อ อ อ วฆวก ย ย ย ย วฆ ย ย วฆย ย ย ย ย ย ย ย ย วค ย ย ย
LED ER : Af formand Jørgen Kristensen Rasch, KIT@
Går den, så går den... Så er det tid til endnu en gang at stille skarpt på nogle af de emner, der rører sig i de kommunale it-chefers horisont. Det er atter tid for Kit-magasinet. Denne gang har vi sat informationssikkerheden på dagsordenen for at sikre, at denne særlige disciplin ikke glemmes i en tid, hvor brugere bliver mere og mere afhængige af deres it-værktøjer, herunder forventninger til ubrudt og hurtig kommunikation, onlinetjenester med intelligent systemunderstøttelse. Virtuel dataopsamling, hvor lagring og teknologi breder sig op i skyen og ud over landegrænser, helt uden for de enkelte virksomheders rækkevidde. Sidst, men ikke mindst ændrer trusselbilledet sig også radikalt i takt med, at vi tager nye komplekse teknologier til os og nye verdensdele teknologisk melder sig under fanerne. Emnet it-sikkerhed er ikke det, der står højest i de kommunale fagcentre og institutioners bevidsthed. De kommunale topledelser ser det ligeledes som en perifer, lidt forstyrrende omend nødvendig, aktivitet. I en tid med ressourceknaphed og politisk opgavekrydspres aftvinger det ikke den helt store respekt, når de it-sikkerhedsansvarlige endda med revisionens anbefalinger i hånden, ønsker at investere tid og penge i en skærpet sikkerhedsprofil eller inddrage organisationen i en tværgående sikkerhedsinformationskampagne. Lidt provokerende kan man se indsatsen ud fra perspektivet: "Går den, så går den". Men gør den egentlig det? Hvad nu, hvis Hvad nu, hvis virksomheden bliver ramt af en hændelse, der sætter medarbejderne ude af stand til at løse deres opgaver, eller kompromitterer borgernes data eller sletter de informationsarkiver, som blandt andet er en forudsætning for sagsbehandling samt redelig og gennemskuelig borgerbetjening. Hvor effektivt og automatisk vil opgaverne i så fald kunne løses? Hvor lang tid vil der gå før, at skaden er udbedret og hvor stor skade vil det gøre på troværdigheden og tilliden til digitale løsninger både inden for og uden for murene i de ramte organisationer? Det burde være på de tider, hvor informationssikkerheden ses som et grundvilkår for alle virksomheder - her især kommuner - der har baseret hele sit virke på it-understøttelse og som strategi primært satser på at tage digitale løsninger i anvendelse for at kunne betjene
borgere og virksomheder effektivt. Vi giver med udgangspunkt i fire kommuner helt konkrete eksempler på, hvordan man kan arbejde med at skabe et it-sikkerhedsniveau, der kan gavne forretningen, når sikkerheden udfordres. I Kit@ har vi i egne rækker oplevet, hvor svært det har været at fastholde og skabe interesse for it-sikkerhed. Vi hilser derfor initiativet om at danne en særlig forening velkommen, hvor It-sikkerhedskoordinatorer fra større offentlige organisationer går sammen for at skabe et fagligt samarbejdsforum til gavn for informationssikkerheden. Vi har bedt Kim Aarenstrup, der er en af it-sikkerhedspionererne i Danmark til at give sit bud på, hvor vi skal være specielt opmærksomme på it-sikkerheds udfordringer i tiden, der kommer. Samtidigt giver DK-CERT deres meget konkrete vurdering af, hvor vi som offentlige myndigheder kan forvente udfordringer kommer fra. Vi håber, det giver jer anledning til refleksion og overvejelser, om hvad I kan gøre af forskel for at imødekomme udfordringerne. Mange har bemærket, at vi har en udstrakt interesse i, hvordan det går med SKI for tiden. Naturligvis har konstruktioner som Kombit, KL og SKI, der sætter rammebetingelserne for vores ageren som It-indkøbere og It-ansvarlige en særlig og dedikeret plads fra den udkigspost, Kit-magasinet er for foreningens medlemmer. Vi kan heller ikke helt glemme tidligere tiders snak om KMD´s monopolstilling på kommunemarkedet. I dette nummer stiller vi skarpt på SKIaftale 02.19 og de konsekvenser, denne aftale har for indkøbsmønsteret i kommunerne, herunder ønsket om fri konkurrence og udbudspligt. Aftalen har sådan, som vi ser det, ikke haft den helt ønskede virkning på den fri markedsdannelse. Tværtimod finder nogle kommuner, at aftalen er en kattelem for KMD i deres bestræbelser på at holde deres markedsandel. Spændende at iagttage, om KMD's årsregnskab for 2011 topper det flotte regnskabsresultat for 2010. Ærgerligt, at kommunerne ikke længere har KMD-aktier at fæste sin lid til, nu hvor der er lavvande i de offentlige finanser. Vi følger fortsat udviklingen her på nærmeste hold, og det vil glæde os, hvis der er en anden virkelighed, end den vi kan præsentere for jer. God fornøjelse med læsningen og god sommer.
KIT magasinet 03_juni 11_side 5
@ nyt
Af Flemming Kjærsdam
KMD vinder ordrer for 170 mio. kr. på SKI-aftale KMD har vundet 35 ordrer i 22 kommuner i de seneste seks måneder gennem SKI-aftalen 02.19. Aftalerne er, ifølge salgs- og marketingdirektør Karen Nielsen, KMD, altovervejende indgået ved ”direkte tildeling”. Aftalen 02.19 dækker over ASP/Cloud, og kontrakternes samlede værdi opgør KMD til 170 mio. kr. SKI-aftalen 02.19 er blevet en ”kattelem” for KMD til at sælge fagsystemer til kommunerne. Og for kommunernes ledelser er 02.19 blevet en vej til KMD´s fagsystemer uden at skulle i EU-udbud. Herning, Morsø, Vesthimmerland og Hjørring Kommuner er fire ud af de 22 kommuner, der har brugt SKI-aftalen 02.19 til at indkøbe nye it-løsninger fra KMD´s SAP-platform Opus og KMD Opera, som er Jobcenter-løsningen. Kommunerne står kort og godt i kø for at indkøbe nye it-løsninger. SKI-aftalen 02.19, som gik i luften i december 2010, åbner mulighed for ”direkte tildeling” af ordrer eller ved at gennemføre et ”mini-udbud”. Men ifølge KMD vælger kommunerne den ”direkte tildeling”.
”Der har været stor interesse fra kommunernes side om at benytte 02.19 ved ”direkte tildeling”. På den måde afløfter den kommunernes EU-udbudspligt. Vi ser en bred vifte af kommuner bruge denne aftale, dog har vi ikke set de fire største kommuner være aktive på aftalen endnu,” siger Karen Nielsen, KMD. Selv om 02.19 hedder ASP/Cloud, så dækker den stort set hele KMD´s produktportefølje inden for fagsystemer. Så samtidig med at 02.19 er blevet en genvej mellem KMD og kommunerne, er der 16 andre aftaler under SKI, der tilsvarende er blevet aflyst. Dermed kan de leverandører, der er kommet med på 02.19 og som kan levere software med tilhørende drift godt siges at have en fået en markedsmæssig fordel. Alternativt kan kommunerne vælge at gå i EU-udbud. Også på den front løber KMD en række ordrer hjem. Fredensborg og Rudersdal Kommuner gik i fællesudbud, Aabenraa, Furesø og Ringsted Kommuner har alle underskrevet kontrakt om KMD Opus. Disse kontrakter skal lægges oven i dem fra 02.19.
”
Vi ser en bred vifte af kommuner bruge denne aftale, dog har vi ikke set de fire største kommuner være aktive på aftalen endnu Karen Nielsen, KMD
”Vi er konkurrencedygtige. De mange kontrakter viser dog også, at der har været et opsparet behov blandt kommunerne, både hvad angår indkøb på SKI-aftaler, og indkøb gennem EU-udbud. Vi mener, vi har taget markedsandele, og det giver os nogle forventninger til resultatet i 2011,” siger Karen Nielsen. For præcist et år siden underkendte Konkurrencestyrelsen 29 kommuners kontrakter med KMD om Opus. Ifølge KMD er der kun to af de 22 kommuner der har tegnet nye OPUS kontrakter i 2011.
KMD tjener 1½ mio. kr. – om dagen! Nogle virksomheder kører penge i banken i en trillebør. Andre – og til den gruppe hører KMD - bruger et lidt større køretøj med fire hjul. I årsrapporten for 2010 sætter KMD´s indtjening ny rekord med et EBITDA på 526 mio. kr. – svarende til knapt 1,5 mio. kr. om dagen. Omsætningen er steget med 125 mio. kr. til knapt 4 mia. kr. i 2010, mens omkostningerne er faldet i underkanten af 100 mio. kr. ”Vi har fået langt mere fokus på vores omkostninger, og samtidig løfter vi væksten i konkurrence med andre. Det har givet os en højere indtjening,” siger Karen Nielsen.
KIT magasinet 03_juni 11_side 6
Hver gang KMD omsætter for en krone tjener de ni øre. I 2009 var det tilsvarende 3,4 øre. Så overskudsgraden er hævet næsten to en halv gange i løbet af det seneste år. ”Vi er godt tilfredse med udviklingen. Vi er vokset hurtigere end markedet, og da effektiviseringerne i vores egen organisation slår igennem, ses det på indtjeningen. Samtidig har vi iværksat ”global sourcing”, og det vil føre til, at flere af vores aktiviteter vil ske i udlandet, og det stiller os bedre i konkrrencen,” siger Karen Nielsen, der fortæller, at global sourcing er en del af Vækstplan 2015. 70 procent af KMD´s omsætning stammer fra kommunerne, og det forventer hun også vil ske i 2011.
+XUWLJù OHYHULQJ DIù,7
Virksomheden du kan regne med! Dustin er en af Danmarks og Nordens største it-leverandører. Hvert år leverer Dustin it-udstyr til tusindvis af offentlige institutioner og virksomheder – det har vi gjort med omhu og fokus på god kundeservice i mere end 25 år. Dustin lagerfører i dag mere end 200.000 it-produkter fordelt på mere end 900 varemærker på vores 20.000 m2 store logistikcenter i Stockholm. Det er markedets største lagerførte it-sortiment. Kombinationen af vores store lagerbeholdning, effektive logistik og store indkøbsvolumen er din garanti for konkurrencedygtige priser samt hurtig og sikker levering – hver gang.
Dustin er godkendt SKI-forhandler: · 02.02: PC, Servere, Storage & Backup · 02.12: Kopi og Print · 02.06: Standard software
2010 Preferred Partner GOLD
Dustin tilbyder: Dustin tilbyder offentlige kunder adgang til vores særlige offentlige salgsafdeling. Her får du en personlig kontaktperson med stor erfaring indenfor IT og de særlige rammer, der er for handel med offentlige kunder. Samtidig får du adgang til alle vores salgsspecialister, der kan give dig eks p e r t rå d g iv n in g inden for hardware, software m.m.
· Hurtig levering fra Nordens største it-lager · Markedets bedste personlige service før og efter køb · Lave priser på de mest populære it-produkter · 25 års erfaring som it-leverandør til erhverv Kontakt Dustins offentlige salgsafdeling i dag på tlf. 8743 9882 eller public@dustin.dk, og hør hvordan vi kan bidrage til at gøre din it-hverdag lettere og mere effektiv. Med venlig hilsen Dustin
www.dustin.dk | 8743 9882 Lave priser | 200.000 produkter Hurtig levering | 900 varemærker
6LPSO\ù)DVWHU
@ nyt
Af Niels Torben Volqvartz
15 kommuner i parallelle udbud 15 kommuner er enige om fuldstændigt fælles udbudsmateriale, som kan bruges til anskaffelse af løsninger inden for økonomi, løn, debitorog ressourcestyring og e-handel. Det står frit for den enkelte kommune at vægte tilbud og vælge leverandør. Kommunerne og KL har haft travlt med at udarbejde nyt udbudsmateriale efter Konkurrencestyrelsen underkendte 29 kommuners KMD Opus kontrakter for et år siden. Intet er dog så skidt, at det ikke er godt for noget. For første gang er det lykkedes at samle mange kommuner om et fælles koordineret udbudsmateriale for at høste fordelene ved fællesskab, men stadig beholde fleksibiliteten. Blandt de 19 kommuner, der har deltaget i arbejdet med kravspecifikation er der både små, mellemstore og større kommuner. Udbudsmaterialet, der undtagelsesvis er udarbejdet af KL, har nu været til endelig høring i de berørte kommuner og er udleveret til leverandørerne. Konsulent Michael Hald, KL: ”Ideen med at gå sammen var indlysende. Kommunerne skal løse de samme opgaver, og løsningerne findes hos flere kommunale leverandører. Vi kendte derfor opgaverne og programmerne, der skal til for at løse dem. Systemet skal både kunne håndtere løn, økonomi- samt debitor- og ressourcestyring, vagtplan og e-handel.” Lang vej til målet Men vejen til at udvikle det fælles udbudsmateriale har været lang og snørklet. Til trods for det store arbejde har kommunerne fået udarbejdet deres kravspecifikation billigt til en fast pris på 10.000 kr. pr. kommune. Michael Hald: ”Jeg må indrømme, at processen har været tidskrævende. Detaljen var udfordringen. Alle ønsker er betragtet som vigtige, og ønskerne fra de forskellige kommuner var ikke ens.” Der er kommet krav fra enkelte specialister til mere generelle kommunale KIT magasinet 03_juni 11_side 8
krav. Men uanset kravspecifikationen, så får kommunerne de samme løsninger, derfor er kravspecifikationen blevet meget stor. ”Der er tale om en stor bruttoliste, som leverandørerne skal svare på, men til gengæld skal de kun gøre det én gang, så jeg anser det for en klar fordel for både leverandører og kommuner,” siger Michael Hald.
”
Jeg anser det for en klar fordel for både leverandører og kommuner Michael Hald, KL
Forskellig vægtning Nu begynder fase to for udbudsmaterialet med samme kravspecifikation, leveringsbetingelser og kontrakt. Valget af leverandør. Men det betyder ikke, at det bliver den samme leverandør, der skal levere til alle kommunerne. Den enkelte kommune kan lægge forskellig vægt på forskellige områder, fordi KL har udviklet en fælles evalueringsmodel. I den model kan kommunerne selv vægte pris, funktionalitet, ressourceforbrug og brugervenlighed helt individuelt. En kommune kan eksempelvis vægte prisen 30 procent, mens en anden vælger at vægte den 50 procent. Det betyder, at forskellige vægtninger kan appellere til forskellige leverandørers interesser. ”Jeg skal understrege, at der ikke er tale om et fælles udbud, men parallelle koordinerede udbud, og det kan måske afspejle sig i prisfordelen. Et fælles udbud, der sikrede én leverandør alle kontrakter kunne måske give den billigste pris på kort sigt. Men det ville skabe monopol og ikke flere leverandører, så det ville formodentlig
blive det dyreste på langt sigt. Konkurrence er godt for prisen, og monopoler skaber ikke nødvendigvis den største kraft og dynamik i udviklingen. Og kommunerne ønsker at styrke konkurrencen,” pointerer Michael Hald. Han påpeger, at det også ville være vanskeligt at binde alle, hvis 19 kommuner gik sammen om et fælles udbud, og de 13 ønskede den ene leverandør og de fem en anden, men alligevel blev tvunget ind i fællesskabet. Implementeringsprocessen Efter evalueringen af de parallelle udbud forestiller Michael Hald sig, at nogle kommuner gerne vil have flere implementeringstilbud, fordi der godt kan blive mangel på ressourcer. Det kan betyde, at de måske kan opnå en noget lavere pris for færdiggørelse af systemet lidt senere. ”Der vil være mest begrænsede ressourcer hos leverandørerne i implementeringsprocessen, derfor kan de være interesserede i at sprede den tidsmæssigt,” pointerer Michael Hald. Han venter, at tilbuddene vil være inde medio september, og der vil gå et par måneder med evalueringen. Tilbuddene vil så være færdigbehandlede og leverandørerne valgt til oktober eller senest november i år. Men der går nemt et år fra projektets start til løsningen er implementeret. Det vil sige, at der sigtes mod færdig implementering inden januar 2013. Michael Hald: ”Det har været en lang proces, men KL har vundet mange erfaringer, så det vil være muligt at udvikle et strammere koncept, hvis vi kører et nyt koordineret udbud med Kombit eller SKI som de udførende kræfter. Ved et nyt koordineret udbud vil det blive muligt at estimere en klar tidsplan. Vi vil evaluere erfaringerne for konkurrenceudsættelse og inddrage kommunerne og leverandørerne for at se, om det er muligt at udvikle konceptet på andre områder.”
Miljø
Genbrug
Sikkerhed
100% sikker og miljøvenlig destruktion af databærende medier DCR Miljø er din miljøcertificerede samarbejdspartner - vores sikkerhedsdestruktionskoncept sikrer 100% destruktion af data. Efterfølgende tilbageføres emnernes ressourcer som nye råvarer til kredsløbet. Fra lagrede data til genanvendelige ressourcer – Vi sparer miljøet for udledning af 10 ton CO2, hver gang vi får omsmeltet 1 ton aluminum fra f.eks. kasserede harddiske.
DCR Miljø A/S DCR Miljø A/S . Langebjerg 6 . 4000 Roskilde Tlf. 46 75 31 41 . E-mail: dcr@dcr.dk
ISO 14001 certificeret
Bestil tid og få sagt ordentligt farvel til dine data
www.sikkerhedsdestruktion.dk
@ nyt
Af Flemming Kjærsdam
81 kommuner bakker op om FLIS 81 kommuner har nu underskrevet kontrakt med Kombit om det nye Fælleskommunale Ledelsesinformationssystem (FLIS), som er en investering på langt over 100 mio. kr. Ifølge projektdirektør Peter Egelund, Kombit, bliver FLIS sendt i ”begrænset udbud” før sommerferien 2011. FLIS-projektet har været længe undervejs. Men det er en synligt tilfreds projektdirektør Peter Egelund, Kombit, der nu kan se anstrengelserne bære frugt. Siden efteråret 2010 har Kombit kæmpet for at få uforbeholden opbakning fra kommunerne til et fælleskommunalt ledelsesinformationssystem. Nu er tilstrækkelig mange kontrakter landet til, at det store fælleskommunale datavarehus bliver sat i søen. ”Vi har opnået kontrakter med 81 kommuner, der repræsenterer 82 procent af borgerne i landet. Oprindeligt satte vi som målsætning, at vi
ønskede uforbeholden opbakning fra minimum 70 procent af borgergrundlaget for at økonomien hang sammen. Den milepæl har vi nu passeret. Kommunerne bakker op om FLIS,” siger Peter Egelund, der ikke ønsker at sætte navn på de kommuner, som har underskrevet kontrakt med Kombit og de som ikke har. FLIS bliver det seneste fælleskommunale it-system, hvor Kombit tilvejebringer systemkrav til et nyudviklet it-system og gennemfører kontraktforhandlingerne på kommunernes vegne. I alt har to håndfulde it-leverandører henvendt sig og finder FLIS-projektet yderst interessant. Kombit har for knapt et år siden i samarbejde med 26 kommuner været med til at definere de fælles nøgletal, der skal skabe rammerne for et kommende FLIS. Udviklingsarbejdet har primært bestået i at de-
finere de økonomiske nøgletal, og nøgletal fra fagsystemer, der er interessante for ledelserne i kommunerne at styre efter. De endelige nøgletal udvælges af kommunale brugergrupper i samarbejde med KL og Kombit. Herefter skal leverandører levere snitfladebeskrivelser, der sikrer at få ”systemerne” til at kunne udveksle data, så de kan præsenteres i kommuner på tværs af leverandører og forvaltninger. ”Det har taget lang tid at nå frem til dette resultat. Nu har 81 kommuner tilsluttet sig en fælleskommunal løsning, og vi forventer at gå i begrænset udbud inden sommerferien, og forventer at skrive kontrakt med en leverandør i efteråret 2011,” siger projektdirektør Peter Egelund, Kombit. Efter planen går FLIS i drift om et år.
En undersøgelse, som Kombit gennemførte blandt kommunerne for et år siden viste, at tre ud af fire kommunaldirektører fandt, at de betalte for meget for at få adgang til egne data, når det skete på tværs af systemer.
FLIS fase 1:
Effektiviseringer
• FLIS fase 1 dækker tværgående data inden for økonomi og personale, og fire fagområder: Folkeskole, udsatte børn og unge, voksne handicappede og ældre.
Derfor mener KL, at der er behov for at samle data fra de forskellige leverandører i et fælleskommunalt datavarehus, FLIS, så der kan trækkes bedre ledelsesinformationer og betales mindre for at få adgang til egne data. Kombit har nu med 81 kommuner samlet indkøbskraften.
• FLIS fase 2 dækker yderligere to fagområder, som endnu ikke er udpeget. FLIS er et supplement til lokal ledelsesinformation, og FLIS skal derved sameksisterer med lokale nøgletals-løsninger.
Kit-Magasinet har tidligere omtalt den fælleskommunale digitaliseringsstrategi som vejen til at sikre 1 mia. kr. i effektiviseringer om året frem mod 2015. Kommunerne har effektive udbetalingssystemer, men mangler tværgående digitale beslutningsværktøjer i forretningen. De skal ind for at sikre, at der ledelsesmæssigt kan følges op på de digitale indsatser. Derfor ser KL´s top nu FLIS som det fælles ledelsesværktøj, som kommunerne skal anvende.
KIT magasinet 03_juni 11_side 10
Første skud på stammen – digital behandling af sager om begravelseshjælp Efterspørgslen på digitale løsninger, der kan minimere rutineprægede opgaver, er stor. Derfor såede vi ved udgangen af 2010 frøene til en række nye NetForvaltningsløsninger. Filosofien bag de nye digitale løsninger er at forenkle og effektivisere sagsbehandlingen i kommunerne. Nu er vi klar til at lancere den første løsning – og der er flere på vej. Første skud på stammen er sagsbehandlingsløsningen, NetForvaltning Begravelseshjælp, der håndterer digital sagsbehandling i forbindelse med ansøgning om og udbetaling af begravelseshjælp. Hele sagsbehandlingen foregår digitalt, og kommunen kan derfor opnå store besparelser – både økonomisk og tidsmæssigt. NetForvaltning Begravelseshjælp er udarbejdet i samarbejde med vores kunder og passer derfor med garanti også til din kommune. I EG Kommuneinformation forsætter vi med at lade idéerne spire og ser frem til at kunne præsentere flere nye NetForvaltningsløsninger. Måske har vi plantet frøet til netop den løsning, din kommune står og mangler – ellers gør vi det sammen. Hvis du vil vide mere om vores NetForvaltningsløsninger, så klik ind på www.eg.dk/ki.
EG Kommuneinformation www.eg.dk/ki
EG Kommuneinformation Kommuneinformation er i 2011 blevet en del af EG koncernen under navnet EG Kommuneinformation. Vi har fortsat fuld fokus på områderne lovinformation, selvbetjening og digitale sagsbehandlingsløsninger.
@ nyt
Af Niels Torben Volqvartz
Ingen aner om it-investeringer er til nogen nytte for borgerne Jesper Berger har baggrunden til at bygge bro mellem universitetsforskning og nyttig brug af it i kommunerne ”Man formoder, at it-investeringer i kommunerne er til gavn for borgerne og giver økonomisk effekt. Men ingen har undersøgt det grundigt eller udnyttet den nyeste forskning til at sikre at det sker,” siger Jesper Berger. Den opgave brænder han heftigt for. Og Jesper Berger har den brede baggrund, der skal til. Master i itledelse og strategi fra IT-universitetet i København, civilingeniør med speciale i planlægning fra Ålborg Universitet og kemiingeniør fra DTU. Han har certificeringer og eksamenspapirer, der kan tapetsere en kontorvæg, men også praktiske erfaringer som økonomichef i Rødovre kommune, regnskabschef i Stenløse kommune, kontorchef i Grønlands Hjemmestyre, selvstændig konsulent og projektleder i Danmarks Statistik. ”Det handler om enkelhed og sund fornuft. Der har ikke været fokus på selve nytten eller den ønskede effekt ved digitaliseringen. Det er nødvendigt at definere målene og så udvikle den it, der skal til for at nå dem. I forskersprog hedder det effektdrevet it-udvikling,” siger Jesper Berger. Han påpeger, at den offentlige sektor i udstrakt grad stadig sætter strøm på papiret i administrative processer, mens it-investeringerne stadig går op i teknologi i stedet for at skabe nytteværdi og effektiviseringer i kommunerne. De borgervendte selvbetjeningsløsninger bliver f.eks. ikke anvendt særlig meget, og årsagen er ikke underKIT magasinet 03_juni 11_side 12
søgt grundigt. Jesper Berger: ”Teknologien burde udgøre fem procent af forandringsprocessen, men den udgør ofte 95 procent.” 4 milliarder kr. ”Vi når ikke frem til en smartere digitalisering af den offentlige sektor eller henter de besparelser, der skal redde den kommunale sektors økonomi, uden et totalt paradigmeskifte i anvendelsen af it. Fokus på teknologi betyder, at ingen ved, om de ca. 4 milliarder kr., som kommunerne ifølge Danmarks Statistik hvert år bruger på it, fører til nævneværdige forbedringer. Det er nødvendigt af rette fokus på målet, siger Jesper Berger. Han understøttes af professor Jesper Simonsen, RUC: "Mange it-projekter fører ikke til de effekter, kunden søger at opnå. Fra kundens synspunkt er sådanne projekter hele eller delvise fiaskoer, men leverandøren kan ikke desto mindre have opfyldt sin kontrakt ved at levere den specificerede systemfunktionalitet. Effektdrevet it-udvikling er kendetegnet ved at fokusere på effekter frem for produkter og processer, måling frem for forventninger og estimater samt på effektbaserede specifikationer frem for funktionalitetsbaserede specifikationer." KL er i øvrigt gået ind i et samarbejde med RUC om at anvende den nyeste forskning om at forøge udbyttet af kommunale it-investeringer. Jesper Berger fremhæver, at digitaliseringen er blevet reduceret til projektforløb, hvis formål er at anskaffe et teknisk system. Anskaf-
felsesforløbet tilpasses herefter retningslinjerne for EU-udbud, og der gennemføres et teknisk implementeringsforløb med fokus på at overholde tidsplan og budget for selve anskaffelses- og implementeringsprojektet. Tekniske implementeringer ”Den nuværende metode giver under heldige omstændigheder gode tekniske implementeringer, hvor processen lever op til retningslinjerne for EU-udbud,” pointerer Jesper Berger. Partner i Lett Advokater, René Offersen er enig i, at udbudsreglerne er hæmmende: ”Anvendelsen af itudbud i dag er med til at hæmme innovationen på komplicerede områder som it. Vi har derfor behov for nye modeller, det er dog ikke realistisk på kort sigt. Men man kan komme et stykke ad vejen ved at udnytte mulighederne i konkurrencepræget dialog ved udbud.” Jesper Berger påpeger, at der ikke er tradition for at se på eller inddrage de langsigtede organisatoriske forandringer og effekter, dvs. at betragte digitalisering som en forandringsproces. ”Kommunerne har generelt ikke udviklet og ikke efterspurgt kompetencer, hvor efter der fokuseres på digitaliseringens effekt, og markedet har derfor ikke tilbudt det. Den traditionelle metode går ikke længere. Nu er det et politisk krav, at digitaliseringen af den offentlige sektor skal skabe mere effektivitet. Det kræver en væsentlig ændring af den måde, digitaliseringen foregår på. Det er mit indtryk, at leveran-dørerne er langt mere innovative end indkøberne,” pointerer Jesper Berger Allan Vendelbo, kommunaldirektør i Greve kommune og tidligere mangeårig formand for Komdir er enig i behovet for forskning i effektdrevet it-udvikling: ”Vi har brug for den slags initiativer i den kommunale verden, der ryster os lidt og ændrer ved vores vanetænkning.” Der skal gennemføres et paradigmeskifte i den offentlige digitalisering, ikke mindst i kommunerne der står for ca. to tredjedele af de offentlige udgifter og hovedparten af de borgernære opgaver. Udfordringerne er således store på det komplekse kommunale område, men potentialet er tilsvarende stort
”
Vi når ikke frem til en smartere digitalisering af den offentlige sektor eller henter de besparelser, der skal redde den kommunale sektors økonomi, uden et totalt paradigmeskifte i anvendelsen af it.
It-kompetencer skaber værdi
og kommunerne har jo vedtaget en fælleskommunal digitaliseringsstrategi, hvor målet er et øget råderum ved effektivisering på 2 mia. kr. pr. år fra 2015. Helt nye kompetencer Jesper Berger: ”Hvis det skal lykkes at gøre kommunerne mere effektive via digitalisering, skal der opbygges helt nye kompetencer. Kommunerne skal lære at formulere, hvilke mål de ønsker gennem digitaliseringen. Disse effektønsker skal indgå i kontrakten og opfyldelsen baseres på, i hvilken grad de er realiseret. Hvor der nu er fokus på den tekniske implementeringsproces, skal der i fremtiden være fokus på hele forandringsprocessen inklusiv den organisatoriske tilpasning. Kravet om at digitalisere de borgervendte ydelser kræver viden om inddragelse af borgerne i digitaliseringen, som fremover i højere grad skal være drevet af brugerne for at sikre øget effekt.” Jesper Berger forbereder derfor et erhvervsPhD-projekt, der giver kommuner og systemleverandører adgang til nye og nødvendige kompetencer, der gør dem i stand til at skabe øget effektivisering via digitalisering. Jørgen Kristensen Rasch, formand for KIT@: ”Vi kan fra KIT@ helt og fuldt støtte op om Jesper Bergers projekt. Initiativet rammer lige de udfordringer vi står med i vores hverdag som it-chefer”.
UDNYT DIT FULDE POTENTIALE Hos Mannaz kan vi hjælpe dig med at komme hurtigere og bedre i mål med den rigtige kompetenceudvikling. I en foranderlig it-hverdag møder du stadig nye udfordringer, og med de rette kvalifikationer kan du højne kvaliteten væsentligt. Mannaz udbyder følgende it-forløb: ¥ Mannaz It Projektlederuddannelse ¥ Agile Testing ¥ Fo rretningstest ¥ ISTQB Advanced Level Test Manager ¥ ISTQB/ISEB Foundation CertiÞcering ¥ Krav til it-systemer
L¾s mere og tilmeld dig p
www.mannaz.com/408
Målsætninger for erhvervsPhD-projekt: 1. Model til opbygning af kompetencer hos kommune og systemleverandør i forbindelse med at formulere og måle effekter ved digitalisering 2. Kontraktmodel til systemanskaffelser, der bygger på effekter 3. Model for anskaffelsesprocessen, der sikrer fokus på øgede effekter ved brug af brugerinvolvering og innovative elementer
Mannaz A/S er internationalt førende i kompetenceudvikling. Med udgangspunkt i innovative og effektive læringsmetoder udvikler vi mennesker og organisationer. Vores løsninger har et strategisk afsæt og skaber reel effekt. Vi blev grundlagt i København i 1975. I dag servicerer vi kunder i 40 forskellige lande.
KIT magasinet 03_juni 11_side 13
KRO NIK
Af Kim Aarenstrup, IT-Sikkerhedchef hos A.P. Møller - Maersk samt bestyrelsesformand for ISF.
Informationssikkerhedstruslen anno 2013 Trusselsbilledet inden for informationssikkerhed vil ændre sig dramatisk de kommende 18 måneder. Grunden til det er, at en række lande som Rusland, Kina og Indien i følgeskab af andre knapt så udviklede lande for alvor er på vej ind i internetklubben. Det er over halvdelen af jordens befolkning. I alt vil knap 5 mia. mennesker besidde smartphones, og dermed også adgang til internettet. Det sætter trusselsbilledet i et nyt perspektiv. ISF - Information Security Forum (www.securityforum.org) har netop publiceret en udgivelse om dette. De taler om fem globale trends, som vil få indflydelse på os alle i de kommende to til tre år. 1. Cyber (u)sikkerhed I takt med at stater og regeringer får bedre forståelse for det uudnyttede potentiale, og bliver opmærksomme på de sårbarheder der også er, vil vi se, at de tager en mere ledende rolle i forhold til Cybersikkerhed. Ikke mindst når det bliver tydeligere at angreb på sygehuse og national infrastruktur bliver lettere. Det betyder, at vi givetvis også vil se en række lande styrke deres militære forsvarsmekanismer – og måske også de angrebsmæssige. For kommercielle virksomheder vil det til stadighed blive vanskeligere at navigere i de forskellige landes lovgivninger, der ofte ikke er blege for at lade deres råderum gå langt ud over egne landegrænser. 2. Det åbne videnssamfund De moderne videnssamfund vil stimulere samarbejde på tværs af faggrænser og sektorer, samt fremme innovation og deling af information. Denne gennemsigtighed vil være stadig vigtigere i såvel offentlige som private virksomheder. Det vil samtidig blive nødvendigt at forholde sig til den konkrete grænse mellem transparens og fortrolighed. Vores offentlige data vil blive delt i stadig større grad, og risikoen for at følsom information ender i de forkerte hænder vil være mere oplagt. Wiki’s og sociale netværk kommer til at spille en langt mere betydelig rolle på det organisatoriske niveau i virksomhederne. De skaber en række nye samarbejdsformer, som vi kun lige har set spidsen af i dag. Det betyder også, at data-tab og medarbejdernes bevidste lækager vil kunne få alvorlige konsekvenser for ledelser i vores virksomheder og institutioner. 3. Internettet: Jorden er flad? Alle de mange nye mennesker på internettet vil bringe
KIT magasinet 03_juni 11_side 14
verden tættere sammen. Bagsiden vil naturligvis være, at store sociale forskelle bliver tydeligere. Mellemøstlige borgere er begyndt at se dette, men eksempelvis ikke Nord Korea, endnu. Det betyder, at vi kommer til at se langt mere cyber kriminalitet, hvor internet anvendes som medie eller blot som lokkemad eller maskerade (falsk ehandel mv.). På it-sikkerhedsområdet vil det betyde flere og langt mere sofistikerede angreb. Der vil også komme langt flere zero-day (nye ukendte) angreb, som slår vores hastighed med at opdatere og sikkerhedspatche systemerne. Også IP v4 –IP v6 transitionen vil formentlig blive udfordrende rent sårbarhedsmæssigt. Der er givetvis allerede grupperinger i gang med at studere, hvordan de kan udnytte den situation til egen vinding. Virksomheder, der ikke har den kritiske masse til selv at opbygge kompetencer på disse områder, vil formentlig outsource it-sikkerheden til professionelle leverandører. Sidst men ikke mindst vil man formentlig begynde at se flere cyber kriminelle manipuleringer af aktiemarkeder og børser rundt omkring i verden. 4. Den smarte virksomhed Sikkerhedsimplikationerne ved eftermælet fra den globale finanskrise, vil få mange virksomheder til at tænke i smartere og mere omkostningseffektive løsninger. Der vil blive fokuseret på at drive mere værdi for færre penge, og det driver dem generelt mere ud i ”skyen”. Cloud og sourcing vil formentlig få væsentlige gennembrud inden for de næste par år, og en vigtig faktor kan være sikkerheden. Eksisterende infrastruktur som ikke umiddelbart kan outsources vil blive integreret med nye ”betal-pr-forbrug” modeller. Dermed er der åbnet for potentielt endnu mere komplekse modeller end man har i dag, og hvor ansvaret pludselig begynder at svæve lidt rundt mellem skyerne. Den situation vil samtidig blive udfordret af en strøm af nye teknologier og nødvendigheden for at adaptere til disse. IT-Sikkerheden kan meget vel blive taberen i den sammenhæng, hvis ikke emnet er stærkt forankret i toppen af organisations- eller forretningsledelsen. 5. ”Forbrugerisering” (consumerization) Det faktum at vi begynder at blande virksomhedens og den private teknologi sammen, betyder også at private adspredelser blandes med de forretningsmæssige aktiviteter.
Det medfører en stadig mere tåget overgang mellem arbejde og privatliv. Virksomheder og institutioner vil dermed blive tvunget til at genoverveje deres tidligere holdninger til at dette styrker produktiviteten og tiltrækker samt fastholder talentfulde medarbejdere. Ikke mindst fordi det bliver for omkostningskrævende at omfavne alt dette. Mængden af nyt forbruger-baseret udstyr vil også åbne for en række nye angrebsvektorer, som vi pt. stadig kun kan gisne om, men APPs på smartphones vil givetvis være en af disse vektorer.
Paradigmeskift eller ej – vi kommer i hvert fald ikke til at kede os i it-sikkerhedsbranchen.
Fællesskab for bedre resultater KOMBITs vigtigste opgave er at sikre, at kommunerne får bedre og billigere adgang til it-løsninger. Det gør vi ved at samle indkøbskraften og forhandle løsninger og priser på vegne af kommunerne og ved at stå i spidsen for udvikling af it-løsninger. Rygraden i KOMBITs forretning er fællesskabet mellem kommunerne. Det er ved at udnytte fællesskabets synergier og stordriftsfordele, at KOMBIT kan skabe værdi. For at kunne skabe gevinster har vi derfor brug for dine input og dit engagement. Du kan læse mere om KOMBITs løsninger, og om hvordan vi kan hjælpe hinanden på www.kombit.dk
KOMBITs årsberetning for 2010 er på gaden. Se den på www.kombit.dk
TE MA:
o f n I
t a rm
k i s s ion
d e h ker
Risikovurdering går hånd i hånd med sund fornuft Business casen for sikkerhedstiltag hos kommunerne består af en risikoanalyse tilsat en god portion sund fornuft og økonomisk ansvarlighed. Den læner sig op ad sikkerhedsstandarderne, men implementerer dem med afsæt i en rimelighedsbetragtning. ”Vi må ikke gamble med vores sikkerhed, men det ville også være økonomisk uansvarligt, hvis vi siger, at vi skal være Fort Knox.” Det siger it- og digitaliseringschef Erik Sørensen, Viborg Kommune. Det står som overskrift for den tilgang til informationssikkerheden, som praktiseres i de fire kommuner, som Kit-Magasinet har talt med. ”Den store”, Viborg, ”den knapt så store”, Aabenraa, ”den mindre”, Syddjurs, og ”den helt lille”, Samsø, skal håndtere informationssikkerheden i meget forskellige organisationer. Midlerne kan være forskellige, mens målsætningerne ligner hinanden.
KIT magasinet 03_juni 11_side 16
”Vores strategi går ud på, at vi vil leve op til standarderne – først DS 484 og nu ISO 27001 – men når alt kommer til alt, er spørgsmålet, her som i alle andre sammenhænge i vores organisation, om det giver mening, om det gør noget godt, og om det kan betale sig. Det er et spørgsmål om sund fornuft,” siger Lone Smedegaard Krings, it-driftschef i Syddjurs Kommune. I årsrapporten fra DK-CERT ses tydelige tendenser i retning af mere målrettede angreb fra udenlandske hackere og mere nyt mobilt udstyr, der er med til at udvide palletten af forskellige indgange til computere. Samtidig med at mangfoldigheden af angreb varieres. Så i virkeligheden trænger sikkerheden sig mere og mere på som et emne for hele orgnisationen, men det må heller ikke blive et ”Fort Knox”, så mistes fleksibiliteten i det daglige, og det koster for meget.
De fire kommuner deler opfattelse af trusselsbilledet. Det er helt overvejende de interne sikkerhedsrisici, der fylder mest. Det drejer sig eksempelvis om medarbejdernes omgang med personfølsomme informationer, uhensigtsmæssig adfærd på internettet og vedligeholdelse af egne backuprutiner. ”Vi skal blive ved med at fortælle om informationssikkerheden, for den største kilde til fejl er stadig medarbejderne,” siger it-chef Eva Minke Andersen, Aabenraa Kommune.
SIKKER IT-SIKKERHEDSSTRATEGI I VESTHIMMERLAND En analyse med konkrete anbefalinger fra Dubex, har givet Vesthimmerlands Kommune et kvalificeret beslutningsgrundlag, til at prioritere og strukturere deres it-sikkerhed. Efter en succesfuld kommunesammenlægning og outsourcing af serverdriften, satte Vesthimmerlands Kommune fokus på it-sikkerheden. Målet er at sikre kommunen og dens borgere mod sikkerhedsbrud. Læs hvordan de gjorde på www.dubex.dk/vesthimmerland. ”Med en sikkerhedsanalyse fra Dubex, har vi på et kvalificeret grundlag, kunnet prioritere og strukturere processen, med at forbedre informationssikkerheden. Derudover har vi fået konkrete forslag, til vores videre arbejde. Processen kører fint, og rapporten danner stadig grundlag for vores prioritering af indsatsområder.” Pia Risgård, Afdelingsleder i Administration og It i Vesthimmerlands Kommune.
KØBENHAVN Dubex A/S Bådehavnsgade 46 2450 København SV
ÅRHUS Dubex A/S Åbogade 15 8200 Århus N
Tlf. +45 3283 0430 Fax +45 3283 0431 www.dubex.dk
Dubex er den førende samarbejdspartner, inden for løsninger til it-sikkerhed. Ved hjælp af vores 14 års ekspertise og forretningsforståelse, leverer vi dagligt driftsikre løsninger og fleksible konsulentydelser til offentlige organisationer, danske og internationale virksomheder. Vi tilbyder også overvågning, drift og vedligeholdelse af sikkerhedssystemer samt support døgnet rundt.
TE MA:
Af Flemming Kjærsdam
Information
ssikkerhed
Hackere målretter Hackere angriber offentlige myndigheders computersystemer langt mere målrettet end tidligere. Selvom der reelt er et svagt fald i hacking, phishing og trojanske heste på hjemmesider og mod offentlige myndigheders it-systemer, ses der en markant vækst i det ”målrettede it-misbrug”. Det fremgår af DK-CERT´s trendrapport for 2010. It-kriminelle går ikke i samme grad som tidligere efter at skade computersystemer. De målretter angreb for at skaffe sig adgang til informationer, der kan omsættes til penge. På den måde kan de kriminelle også siges at være blevet mere professionelle i deres tilgang, da den rigtige viden er penge værd. Lederen i DK-CERT, Shehzad Ahmad, siger: ”Det er ikke længere interessant for en it-kriminel at vide, om der er en maskine, men i højere grad om der er én maskine, som er inficeret med en bestemt malware eller andre værktøjer, som gør det muligt at skaffe sig adgang til maskinen. Andelen af scanninger mod TCP-port 1024 og 1027 er steget til over 20 procent af alle anmeldte scanninger i 2010.” TCP-port 1024 benyttes af programmer til fjernadministration, og TCP-port 1027 er brugt af den trojanske hest ICQkiller. Opgaven med at varetage den offentlige sektors sikkerhed er gennem de seneste år, blevet stadig mere kompleks. Dels bliver de udefrakommende angreb mere målrettede og dels bliver der internt introduceret nye platforme som smartphones og tavle pc’er. Det er platforme, som organisationerne skal risikovurdere og supporte. Samtidig stiller medarbejderne krav om at kunne benytte en række online services som sociale netværkstjenester. Ifølge Shehzad Ahmad fører det også til nye risici. Nye typer angreb En anden forskydning i typen af sikkerhedshændelser er den vækst i antal sager, der lander i kategorien ”andet”. Det er en type angreb, der er vanskelige at klassificere og som måske slet ikke er set før. Det er steget markant. Således var der i 2010 2184 sager, som blev klassificeret under ”andet”, mod 159 i 2009. Det er 14 gange mere end året før, ”Alt i alt har denne udvikling betydet, at der i 2010 er brugt flere interne ressourcer til registrering og behandling af sikkerhedshændelser. Da det ikke er muligt automatisk at identificere typen af angreb, er der brugt flere ressourcer på den opfølgende indsats for at afdække, hvad det er for en slags angreb, ”siger Shehzad Ahmad. Så samlet set var 2010 et hårdt år for it-sikkerheden. Kombinationen af de målrettede angreb og de mange varianter af skadelige programmer på et enkelt år, har sat KIT magasinet 03_juni 11_side 18
sine spor. Ifølge antivirusfirmaet Pandalabs blev 34 procent af al malware, der har eksisteret, skrevet i 2010. En af de hidtil mest avancerede trusler så dagens lys i 2010: Stuxnet-ormen, der muligvis havde til formål at sabotere det iranske atomprogram. Overordnet set tegner DK-CERTs sårbarhedsscanninger et billede af, at organisationerne ikke har en fast procedure for håndtering og rettelse af sårbarheder. Når sårbarheder først rettes sent udsættes organisationen og dennes brugere for unødvendige risici. Flere organisationer vil derfor have problemer med at overholde egen it-sikkerhedspolitik samt gældende anbefalinger standarder som DS 484, ISO 27001. Det skal i den forbindelse tilføjes, at der sagtens kan foreligge en intern risikovurdering, som DK-CERT ikke er bekendt med, der tillader en given sårbarhed at eksistere. Det kan eksempelvis være en Low, som kun kan udnyttes ved et sammenfald af teoretiske hændelser. Dermed er der foretaget en konkret vurdering, som sårbarhedsscanningen ikke fanger.
”
Andelen af scanninger mod TCP-port 1024 og 1027 er steget til over 20 procent af alle anmeldte scanninger i 2010 Shehzad Ahmad
”Jeg håber, vi vil se forbedringer i år. Finanskrisen har spillet ind for it-sikkerheden, da mange organisationer har sat deres it-investeringer på hold. Eksempelvis har mange organisationer gået uden om Vista som operativsystem på deres pc´er. Det betyder, at mange organisationer har skiftet XP ud og gået over til Windows 7 – og det medfører både opgraderinger af hardware og software, og det er i udgangspunktet godt nyt for it-sikkerheden,” siger Shehzad Ahmad. En undersøgelse fra Deloitte bekræfter også, at den økonomiske vækst vil føre til moderat vækst i investeringer i it-sikkerhed. Det er dog tvivlsomt, om man er tilbage på niveauet inden den finansielle krise. 57 procent af virksomhederne mener, at man i bedste fald kun lige er ”up to date” med de aktuelle trusler. 46 procent mener, at utilstrækkelige budgetter er den største barriere for organisationernes it-sikkerhed.
Ordbog om sikkerhed
angreb
Botnet er en samling pc´er, som er overtaget af hackere; anvendes blandt andet til at sende Spam. Brugernavn: Læsbar adgangskode DS 484: Dansk Standard inden for it-sikkerhed, der bruges i kommunerne ISO 27001: International standard for informationssikkerhed. Bygger oven på DS 484 og anvendes i dag i mange statsinstitutioner, men er mindre udbredt i kommunerne. Malware: Ondsindet software. Ifølge Pandalab er 34 procent af al malware skrevet i 2010.
DK-CERT er et nationalt varslingscenter for it-sikkerhed, som i samarbejde med tilsvarende organisationer over hele verden indsamler informationer om internetsikkerhed. Når hændelser indtræffer, udsender de advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Antallet af scanninger er støt faldende, viser DK-CERT´s statistik. Den viser, at de danske computerinstallationer har nogenlunde godt styr på it-sikkerheden med hensyn til beskyttelse mod de klassiske trusler. På den anden side opleves flere målrettede og varierede angreb. I fremtiden tyder det på, at de mobile medarbejdere udgør den største sikkerhedstrussel.
Truslen inde fra Det er ofte de eksterne trusler, der løber med den største opmærksomhed, da de også er svære at skjule. Men ifølge Shehzad Ahmad er de interne trusler fortsat de største. ”Med stigende brug af mobile enheder, trådløse netværk og sociale medier er de interne trusler større end nogensinde,” siger han. I en global undersøgelse fra Checkpoint opfattes data som den nye globale møntfod. To ud af tre it-sikkerhedsadministratorer frygter, at væksten af mobile medarbejdere vil medføre tab af virksomhedskritiske data. Alle typer af data har sin pris, og også 2010 bød på historier om fortrolige data, der i udlandet blev enten lækket til pressen eller stjålet med misbrug for øje. Ifølge EU’s statistikkontor Eurostat er dette dog hovedsagelig et udenlandsk problem, da ingen danske organisationer i en undersøgelse angav, at de i 2009 havde fået offentliggjort fortrolige data. Der er dog ingen garanti for, at det i fremtiden også vil være sådan.
Password: personlig adgangskode Privacy: beskyttelse af personfølsomme (også personalefølsomme) oplysninger Phishing: Franarre folks identitet, adgangskoder, betalingskoder Spam: Reklamer der bliver sendt som e-mail. Danmark er nummer to i verden på det felt. 93,2 procent af alle e-mail er spam. Trojansk hest: En ødelæggende programstump, der skjuler sig i et harmløst program. I modsætning til vira, kan trojanske heste ikke kopiere sig selv. Vira: skadeligt program eller kode, der inficerer din pc og spreder sig ved at kopiere sig selv Zero-day: nye typer uforudsigelige angreb, der udnytter den ”forsinkelse”,der er opstår, inden man har fundet ud af, hvad det er for en slags forsvar det kræver
KIT magasinet 03_juni 11_side 19
TE MA:
Af bestyrelsesmedlem Michael Voel Jensen, Kit@
Information
ssikkerhed
Nye trusler trænger sig på overalt I de gode gamle dage var it-sikkerhed forbeholdt offentlige myndigheder og større private virksomheder, som havde råd til at have it-udstyr. It-sikkerhed handlede dengang mest om sikkerhedskopi af data og programmer, sikring af serverrum. Men nu er itsikkerhed ikke kun forbeholdt serverrummet. Det omfatter os alle og truslerne trænger sig på overalt. I dag, hvor computere og smartphones er hver mands eje, er der øget fokus på it- og informationssikkerhed. Det er blevet et anliggende for os alle. Der findes en lang række trusler: brand/ødelæggelse af it-udstyr, tab af data som følge af manglende sikkerhedskopi, virusangreb, spammail, phishing (stjålen personlig identitet), malware (ondsindet software), offentliggørelse af private/hemmelige dokumenter, mm. Et Botnet er en samling pc´er, som er overtaget af hackere. Botnet anvendes blandt andet til at sende SPAM-mails. Det mest aktive Botnet (Rustock) omfattede i 2010 ca. 1 mio. pc’er, som til sammen dagligt sendte mere end 44 mia. mails verden over. Omfanget af spammail er således meget omfattende. På verdensplan er 89,1 procent spammails. Danmark er nummer to på verdensranglisten med 93,2 procent. International it-kriminalitet I Danmark var der en kvinde, der KIT magasinet 03_juni 11_side 20
fik ”stjålet” sin identitet. Tyvene nåede at få svindlet sig til ca. 2 mio. kr., inden de blev stoppet. Itkriminalitet er i høj grad blevet international. Der findes større virksomheder, som lever af at stjæle og sælge persondata, som kan misbruges til økonomisk kriminalitet. Europol skønner, at omfanget af økonomisk kriminalitet vil få et astronomisk omfang. Interpol holdt sin første internationale konference om it-kriminalitet i 2010. I 2010 dukkede en ny malware op ved navn Stuxnet, som sandsynligvis er udviklet i USA og Israel. Formålet med Stuxnet var angiveligt at lamme det iranske atomprogram. Det kan ske, ved at Stuxnet lammer de tekniske computere, der styrer processer i et atomanlæg. Stuxnet blev imidlertid udbredt verden over og var tæt på at lamme Mærsk-systemer i Asien og Arlas produktionsanlæg. I værste fald kunne det få alvorlige økonomiske konsekvenser. Et enkelt virusangreb har således potentiale til at lamme hele virksomheder, som DR, teleselskaber, produktionsvirksomheder og offentlige myndigheder. Konsekvenserne kan være særdeles omfattende. It- og informationssikkerhed er forretningskritisk, og derfor ser man flere steder at det har topledelsens bevågenhed. Herhjemme findes en række standarder (DS 484 og ISO27001), som
primært anvendes af offentlige myndigheder. Derudover er der en række organisationer, så som Dansk Standard (DS), Råd for ITog persondatasikkerhed, Rådet for større IT-sikkerhed, IT- Telestyrelsen), som rådgiver om Informations- og it-sikkerhed. Desuden findes organisationer, som DK Cert, GovCert og MilCert, som løbende overvåger og rapporterer om trusler i Danmark. DK-Cert overvåger primært forskningsnettet, som drives af Uni-C. De udgiver en årlig rapport ”Trend rapport, IT-kriminalitet og sikkerhed i året der gik”. Denne rapport tegner et glimrende billede af, hvad der foregår på nettet generelt og i Danmark. It-kriminalitet er et internationalt fænomen. Derfor opruster en række internationale organisationer, som Enisa (EU), Europol og Interpol (Politisamarbejde) for bedre at kunne forebygge og bekæmpe trusler mod It- og informationssikkerhed. Dertil kommer, at en lang række globale It-virksomheder udvikler nye værn så som spam-filtre, viruskontroller. IT- og telestyrelsen har på deres hjemmeside meget materiale, som henvender sig til borgere og ikke mindst de unge, som også er udsatte, når de færdes på nettet. Læs artikel ”hackere målretter angreb” om DK-Certs syn på udviklingen side 18.
TE MA:
Af Stig Andersen
Information
ssikkerhed
Fra it-sikkerhed til informationssikkerhed Organisatorisk forankring og løbende bevidstgørelse. Det er i øjeblikket de to største indsatsområder i Viborg Kommune i bevægelsen fra it-sikkerhed til informationssikkerhed med afsæt i ISO 27001-standarden. It- og digitaliseringschef, Erik Sørensen, vurderer, at Viborg Kommune i øjeblikket følger omkring 75 procent af anvisningerne i DS 484-standarden. ”Vi har fulgt DS 484 siden kommunesammenlægningen, dog hele tiden med øje for, hvad der gav mening, og hvad der var fornuftigt ud fra en samlet vurdering af risiko, konsekvens og omkostninger,” siger han. Viborg Kommune er i øjeblikket ved at revidere den hidtidige it-sikkerhedspolitik, så den i stedet bliver en informationssikkerhedspolitik med afsæt i ISO 27001-standarden. Det signalerer et skifte fra sikkerhed som et rent it-projekt til sikkerhed, der berører alle i organisationen.
”
Risikovurdering skal være en naturlig del af lederrollen i vores organisation. Erik Sørensen, Viborg Kommune
”De to vigtigste fokusområder på sikkerhedsområdet lige nu er den organisatoriske forankring af ansvaret og den løbende bevidstgørelse og læring om, hvordan man opretholder det krævede sikkerhedsniveau,” fortæller Erik Sørensen. Han medgiver, at sikkerhedsspørgsmålet i mange år blev betragtet som et it-projekt, men det skal der gøres op med nu. Der bliver sat navne på data- og systemejere rundt om i organisationen, og der bliver foretaget detaljerede risikovurderinger på de enkelte sagsområder og systemer. ”Det er vores mål, at risikovurdering skal være en naturlig del af lederrollen i vores organisation. Det betyder, når der sker ændringer i arbejdsgangene eller udvidelser af de tjenester, vi tilbyder borgerne, skal lederen sørge for, at der bliver foretaget en ny risikovurdering,” forklarer Erik Sørensen. Dialogen vigtigst I Viborg Kommune har man valgt at anvende værktøjet ControlManager til at understøtte det løbende arbejde med informationssikkerheden. Al information om sikkerhedsstandarderne ligger umiddelbart tilgængelige, og der udsendes automatisk advisering til systemejeren, når det er tid til den fast tilbagevendende risikovurdering. Der bliver anvendt standardskemaer til at foretage risikovurderingen, men den vigtigste effekt af skemaerne ligger et andet sted. ”Det er fint at have skemaerne at støtte sig til, men det vigtigste er i virkeligheden den dialog og bevidstgørelse, som arbejdet med skemaerne afføder,” forklarer Erik Sørensen. Vurdering af sourcingstrategi og sikkerhed Viborg Kommune står selv for serverdriften, men kører som andre kommuner også med mange hostede løsnin-
KOMMUNAL DIGITALISERING, LEDERSKAB OG ORGANISATORISK TRANSFORMATION Et kursusforløb på masterniveau under ledelse af professor Pernille Kræmmergaard fra Aalborg Universitet. Få den nyeste state-of-the-art viden om den offentlige sektors digitalisering, ledelse af it og organisatoriske transformation. Kursusforløbet afholdes i Aalborg.
UDDANNELSENS FIRE MODULER Modul 1:
Digitalisering af og i den kommunale sektor. Den 07.09.-08.09.2011
Modul 2:
Digitaliseringsstrategier og realisering heraf. Den 02.11.-03.11.2011
Modul 3:
Organisering af kommunal digitalisering. Den 01.02.-02.02.2012
Modul 4: Relationsledelse i forbindelse med digitalisering. Den 18.04.-19.04.2012
SKRIV til chefkonsulent Peter Vest på pv@cok.dk. – hvis du har spørgsmål til indholdet af forløbet.
KIT magasinet 03_juni 11_side 22
RING til Aida Hadzimahovic på 8779 6309 – hvis du har brug for praktisk information om forløbet.
LÆS MERE OG TILMELD DIG på www.cok.dk
Nødvendigt med fleksibilitet Som i andre kommuner fylder arbejdet med at beskytte personfølsomme data også en del i Viborg Kommune. Og her er det også en balancegang mellem den systemstyrede adgangskontrol og medarbejdernes muligheder for på en fleksibel måde at udføre deres arbejde. ”Som udgangspunkt har man kun adgang til det sagsområde, man arbejder på. Men eksempelvis medarbejderne i Borgerservice har adgang til mange klientdata, så der bliver man nødt til at have regler for, hvad man må søge på kombineret med den nødvendige kontrol,” siger Erik Sørensen. Udsættelse af opgaver til anden aktør nævner han som en anden faktor, der på nogle områder udfordrer sikkerheden. ”Udsættelse af opgaver kan være en øjenåbner for, om systemerne kan håndtere differentieret adgang til samme system. På nogle systemer bliver vi nødt til at håndtere opdatering af klientdata fra eksterne aktører manuelt, da vi af sikkerhedsmæssige grunde ikke kan give direkte adgang til systemet. På andre områder, som i vores omsorgssystem, kan vi godt give direkte adgang til anden aktør,” fortæller han. Timingen er vigtig Hvis man vil gøre en indsats på sikkerhedsområdet er det ifølge Erik Sørensen helt overordnet vigtigt at have styr på timingen.
”I forbindelse med kommunesammenlægningerne opstod der en mulighed for få den nødvendige opbakning til at tænke sikkerheden ind i driften af systemerne. Man skal sørge for at udnytte den slags vinduer, når de åbner sig, for der kan godt komme længere perioder, hvor de er lukkede,” siger han.
Fakta: Viborg Kommune: • 93.310 indbyggere (2010) • Opstod ved sammenlægning af Bjerringbro, Fjends, Karup, Møldrup, Tjele og Viborg Kommuner samt Hvam Skoledistrikt og Aalestrup Kommune • It- og digitaliseringsafdelingen har 29 ansatte • www.viborg.dk
Nervøs for softwarebudgettet ? Vi kan hjælpe FØR en software audit fra en af de store producenter, så I undgår en ekstra licensregning der IKKE er på budgettet. COMPLIANCE GROUP • Leverer uvildig rådgivning indenfor alle aspekter af software kontrakt- og licensforhold • Besidder dyb og kompetent erfaring indenfor hele Software Asset Management processen • Sidder altid på kundens side af bordet, f.eks ved en software audit fra en af de store producenter Vi er specialiseret i licensering af: IBM, Microsoft, Novell og Oracle software.
Kontakt os på telefon 70 25 20 51
compliancegroup.dk
ger. Det gælder for eksempel Omsorgssystemet, der samtidig er et godt eksempel på, hvordan sourcingstrategien løbende vurderes – også ud fra overvejelser om sikkerheden. Oprindeligt blev systemet anvendt inden for almindelig kontortid til planlægning af vagtskemaer og kørelister for hjemmehjælpere. Men da der også begyndte at figurere klientdata i systemet, og der kom brugere på systemet, der arbejdede i treholdsskift, valgte man at lægge systemet ud til en ekstern partner. ”Vores vurdering på det tidspunkt var, at for at levere den nødvendige support og sikkerhed, blev vi nødt til at lægge systemet ud til en ekstern partner. Men med det setup, vi har i dag, og med en risi-kovurdering, der måske siger, at 99,5 procent i stedet for 100 procent er en helt acceptabel ambition på sikkerhedsområdet, kunne man godt overveje at køre systemet internt igen,” forklarer Erik Sørensen.
KIT magasinet 03_juni 11_side 23
TE MA:
Af Flemming Kjærsdam
Information
ssikkerhed
Aabenraa scorer højest i benchmark Aabenraa Kommune ligger øverst placeret i en benchmark Devoteam Consulting har gennemført i 27 kommuner i samarbejde med KL og Kit@ om informationssikkerhed. It-chef Eva Minke Andersen, Aabenraa Kommune, mener, at en af årsagerne til det gode skudsmål skal findes i Citrix-platformen. En benchmark, Devoteam Consulting har indsamlet blandt 27 kommuners it-chefer og it-sikkerhedskoordinatorer i midten af september 2010 og frem til slutningen af november placerer, Aabenraa Kommune i spidsen. Det understreges dog i rapporten, at der ikke er tale om en empirisk undersøgelse. ”Alle data er centralt placeret på Citrix-servere. Det vil sige uanset, hvor medarbejdere kobler sig på kommunens netværk og til hvilken som helst applikation, sker det gennem et log-in til de centrale Citrixservere. Vi har ikke personfølsomme data placeret decentralt. Det betyder ikke, at der ikke kan forekomme menneskelige fejl. Men log-in proceduren til den virtuelle verden, sker alene gennem citrix-miljøet, og det betyder, at vi har en god dokumentation af brugen af netværket og data, ”siger itchef Eva Minke Andersen. Aabenraa Kommune består af fem sønderjyske kommuner. Da sammenlægningen var gennemført i 2007, var det samtidig en overgang til en Citrix-server platform. Dermed blev det også muligt at styre applikationerne fra centralt hold og brugernes adgang til data. Og det bliver kommunen honoreret for i benchmarken. Aabenraa Kommune scorer rene 5taller, som er det højeste niveau af KIT magasinet 03_juni 11_side 24
implementering, inden for disciplinerne fysisk sikkerhed, styring af netværk og drift, samt adgangsstyring. Benchmarken er målt inden for de 14 kategorier, som indgår i ISO 27001. ”Informationssikkerhed er altid en afvejning af, hvor meget it-afdelingen skal genere brugerne i dagligdagen og samtidig beskytte data, så vi ikke skal høre om personfølsomme oplysninger nede i supermarkedet, fordi medarbejdere i kommunen ikke har gjort det godt nok. Men dels har jeg en driftschef, som er meget opmærksom på området, dels informerer vi løbende om informationssikkerhed i interne, månedlige nyhedsbreve og på lederseminarer,” siger Eva Minke Andersen.
”
Medarbejderne er stadig den største kilde til fejl. Eva Minke Andersen, Aabenraa
Revisionen Det var en lokal undersøgelse i kommunens institutioner for et år siden, da revisionen ville afklare, hvorvidt personhenførbare informationer opbevares, når de ikke blev logget. Desuden udsendtes spørge-
skemaer for at finde ud af, hvilke itsystemer, der anvendtes og om de indeholdte personoplysninger og hvordan de blev gemt drev/cd/usb/papir. Det var resultaterne af dette, der gav stof til eftertanke hos it-chefen. ”Det er afgørende, at vi hele tiden skaber opmærksomhed om informationssikkerheden. Brugerne skal vide, de skal passe godt på den viden, der omhandler borgerne. Så på lederseminarer fortæller vi, hvad den enkelte leder kan gøre i hverdagen for at skabe opmærksomhed på området i deres afdelinger, og i nyhedsbrevene har vi gerne en historie med om, hvordan brugerne løser det i praksis. Vi skal blive ved med at fortælle om informationssikkerheden, for den største kilde til fejl er stadig medarbejderne,” siger Eva Minke Andersen. Eksempelvis hvis en medarbejder arbejder i et regneark med mere end en fane, og sender regnearket videre i en mail, i den tro, at de personhenførbare oplysninger på den bageste fane, der ligger til grund for beregningerne, er skjult. Eller hvis der i en Outlook kalender optræder et navn eller et personnummer, vil en anden medarbejder, der har adgang til delte kalendere, kunne få adgang til personhenførbar information. Det er den slags informationer, der er med til at skabe opmærksomhed blandt brugerne. Inden for det sidste halve år, har Itafdelingen arbejdet med en opgradering af citrix-platformen. Blandt andet vil it-afdelingen gerne sikre, at login hastighederne bliver så hurtige som muligt. Platformen har været i test i it-afdelingen, samt hos superbrugerne.
Der er i dag godt 500 hjemmearbejdspladser, hvor opkoblingen til Citrix i dag sker med en token – det vil sige med midlertidige passwords eller med digital signatur. Inden sommerferien vil de decentrale opkoblinger ske ved hjælp af NemID.
It-program mod børneporno Aabenraa Kommune skrev i slutningen af 2010 kontrakt med det svenske Netclean, som har programmet ProActive, der er et filter mod download af
Adgangsstyring En af de discipliner, som Aabenraa Kommune også scorer højt på i benchmarken, er adgangsstyring. It-afdelingen har videreudviklet på kommunens helpdesk-system. Det betyder ved afskedigelser og ansættelser af medarbejdere, at det er ”forretningsenhederne”, der opretter nye ansatte og sletter rettigheder for afskedigede. Brugeradgang og passwords for tidligere ansatte eksisterer derfor ikke i it-systemer en måned efter ansættelsens ophør. Dermed kan tidligere medarbejderes rettigheder ikke bruges som en bagdør ind i it-systemerne. ”Alle it-brugere har et sæt rettigheder for, hvilke programmer de har adgang til. Flytter en bruger til en anden afdeling, eller til en anden institution, er det vigtigt, at lederen henholdsvis opretter eller sletter rettigheder. Det er meget effektivt at koble det sammen med lønudbetalinger, fordi ingen ledere ønsker at udbetale løn til en medarbejder, der ikke længere er ansat, og omvendt skal nye ansatte have deres løn udbetalt efter en måned,” siger Eva Minke Andersen. Det er også den type informationer, som it-afdelingen formidler på de halvårlige lederseminarer. Dertil kommer også informationer om nye teknologier, som kan udgøre en trussel mod informationssikkerheden.
børnepornografi. Aabenraa er den eneste kommune i Danmark, der anvender dette program. ”Udover download af børneporno er ulovligt, udgør det også en risiko for it-systemerne, fordi man kan få rigtig meget ”snavs” med. Derfor har vi installeret programmet, som sniffer trafikken på netværket, og vi har en ”banke-på” funktion, så vi gør brugeren opmærksom på, at vedkommende er i gang med en ulovlig handling,” siger Eva Minke Andersen.
Fakta: Aabenraa Kommune: • En sammenlægning af Bov, Lundtoft, Rødekro, Tinglev og Aabenraa kommuner • 59.978 indbyggere • It-afdelingen: 30 medarbejdere
Ny forening om informationssikkerhed Fire kommuner og Region Hovedstaden er i gang med at etablere en ny forening inden for informationssikkerhed. Foreningen skal stiftes i løbet af de kommende måneder. Det er Frederiksberg, Esbjerg, Odense og Viborg kommuner, som er med i den arbejdsgruppe, der vil skabe et fagligt forum for sikkerhedskoordinatorer i 98 kommuner og fem regioner. ”Vi oplever informationssikkerhed lidt som et stedbarn i kommuner og regioner. Emnet mangler opmærksomhed. Derfor vil vi gerne stifte en forening, der sikrer fagligheden og opmærksomheden i et fællesoffentligt regi, fordi kom-
muner og regioner er hinandens væsentligste samarbejdspartnere,” siger it-sikkerhedskoordinator Christian Aabo, Viborg Kommune, der er med i den arbejdsgruppe, som skal etablere foreningen. Arbejdsgruppen har skelet til Norge, hvor der allerede findes et sådan forening. Udover at sikre opmærksomhed på informationssikkerhed, ønsker foreningen, når den bliver stiftet, at blive anerkendt som høringspart.
KIT magasinet 03_juni 11_side 25
TE MA:
Af Stig Andersen
Information
ssikkerhed
Sikkerheden spøger i Syddjurs I-Trust gennemførte i 2010 undersøgelsen ”Informationssikkerhed i regioner og kommuner i Norden” og her scorede Syddjurs Kommune højt på omgang med personfølsomme data, men en lav score på parameteren om awareness. ”Som et resultat af den undersøgelse satte vi forskellige aktiviteter i gang. Vi fik udarbejdet en folder om informationssikkerhed, og emnet blev en del af introkurserne for nye medarbejdere,” fortæller Lone Smedegaard Krings, IT driftschef i Syddjurs Kommune. Derudover arbejdes der med et ”ghost”-begreb, som skal være med til at øge opmærksomheden på sikkerhed i det daglige. ”Ghost-begrebet dækker over, at vi i det daglige forsøger at minde hinanden om de forskellige forholdsvis banale ting, vi skal huske rent sikkerhedsmæssigt. Det betyder, at du gerne må minde din kollega om at slå skærmlåsen til eller lade være med at have gule sedler med passwords liggende på skrivebordet,” forklarer Lone Smedegaard Krings.
og nu ISO 27001. Compliance giver tryghed i organisationen med hensyn til de forretningskritiske processer og de lovmæssige krav til omgang med personfølsomme informationer,” siger Lone Smedegaard Krings. Procesmæssigt og organisatorisk er kommunen ifølge it-driftschefen godt kørende, og på det tekniske niveau har man gang i et datavarehus-projekt, hvor et af målene er at opnå den krævede sikkerhed i form af en høj grad af compliance samtidig med konsistente brugerdata i alle systemer. Ved hjælp af NemIndsigt-løsningen giver kommunen borgerne adgang til de digitale arkiver, hvilket er en af de interne udfordringer rent sikkerhedsmæssigt. ”Når man giver borgerne adgang til de åbne sager i kommunens arkiver, er det helt afgørende, at de er renset for personfølsomme oplysninger. Der er selvfølgelig validering og kontrol af det, men det afgørende er, at den enkelte medarbejder forstår sin ansvarlighed på det område,” siger Lone Smedegaard Krings.
Ansvarlighed hos den enkelte medarbejder Den overordnede strategi for informationssikkerheden i Syddjurs Kommune har fire fokusområder: Awareness, risikostyring/risikovurdering, beredskabsplaner og ledelsesfokus. ”Vores mål er at være compliant med standarderne - først DS 484
Drift i huset og i skyen Syddjurs har egen serverdrift kombineret med outsourcede tjenester, som ifølge Lone Smedegaard Krings udgør omkring 40 procent af porteføljen. Det er primært tjenester hos KMD, men der køres andre hostede løsninger hos leverandører, for eksempel bosteds- og jobcenter-løsninger.
”
Ghost er for at huske de banale ting om sikkerheden i det daglige
Lone Smedegaard Krings, Syddjurs
KIT magasinet 03_juni 11_side 26
Fakta: Syddjurs Kommune: • 41.392 indbyggere (2010) • Opstod ved sammenlægning af Ebeltoft, Midtdjurs, Rosenholm og Rønde Kommuner • It-afdelingen består af tolv ansatte i it-driften og seks i it-projektafdelingen • www.syddjurs.dk
Derudover har man søsat et projekt, hvor Syddjurs er på vej helt ud i skyen. ”På skolesiden vil vi til at benytte Google Apps til elevsamarbejde. Flere og flere undervisningsmaterialer ligger i forvejen på nettet, så det er naturligt også at se på den mulighed,” siger Lone Smedegaard Krings. Netop på området for Cloud-baserede tjenester spiller problemstillingerne omkring datasikkerhed en stor rolle, og den udestående afgørelse fra Datarådet med hensyn til Odense Kommunes anmodning om at bruge Google Apps blandt andet til udveksling af elevplaner, har betydet, at Syddjurs Kommune i øjeblikket ikke har andre konkrete planer om at benytte Cloud-løsninger. Fem områder i udbud Syddjurs Kommune har valgt at sætte fem it-områder, herunder serverdrift, i udbud, og også i den sammenhæng er informationssikkerheden på dagsordenen. ”Det er bestemt en udfordring at få garanti for den nødvendige informationssikkerhed, når vi går i udbud. Vores sikkerhedskrav er bygget ind i kravspecifikationen, og så har vi valgt - med den rette advokatbistand - selv at udfærdige kontrakten, så vi dækker os så godt ind som muligt på det område,” afslutter Lone Smedegaard Krings.
d
www.enaco.dk
Hvem m skal du ta tale ale fremtidens med om fremtid dens datacenter? datac center?
Vores V ores medarbejdere medarbejdere har et e indgående kendskab til vi mener, branchen. Et kendskab, som s menerr, er et krav forr kompleksiteten at kunne håndtere håndtere komp pleksiteten inden for datacenter-løsninger. center r-løsninger -løsninger. ENACO er en vigtig brik for strategiske partnere, partnere, it-chefer it-cchefer og ledergrupper i bestræbelserne bestræbelser ne på at skabe ska abe en bæredygtig bæredygtig it-strategi it-strate egi for virksomhedens fremtid. fremttid. Hemmeligheden bag et bæredygtig datacenterbæredygtig datacenter rmiljø er evnen til at se rundt ru undt om hjørner. hjørnerr.
M A K E
D A T A C E N T E R S
W O R K
TE MA:
Af Stig Andersen
Information
ssikkerhed
Outsourcing øger sikkerheden på Samsø Sikkerheden spillede en stor rolle, da Samsø som den første kommune i landet valgte at outsource hele serverdriften til KMD. Ansvaret for it-brugernes sikkerhed ligger dog fortsat i kommunens to en halv mand store itafdeling. Et stadig mere komplekst it-landskab og øgede krav til driftssikkerhed gjorde, at Samsø Kommune i 2003 besluttede at outsource hele serverdriften til KMD. Det betød samtidig, at de to en halv mand, der er ansat i it-afdelingen, ikke længere behøvede at bruge tid på at håndtere informationssikkerheden på serversiden. ”Sikkerheden var på flere områder en vigtig parameter i forbindelse med outsourcing til KMD. Vi kunne langt bedre gardere os mod datatab, og forholdsvis banale ting som styring af adgang til serverrummet var ikke længere et problem. Tidligere havde vi for eksempel på varme sommerdage været nødt til at lukke vinduerne op i serverrummet for at få køling nok,” fortæller it-udvikler Hans Fogh Rasmussen. Fokus på interne risici For kommunens it-folk er det vigtigt at kunne fokusere på de udfordringer, der ligger tættere på de egentlige kommunale aktiviteter, frem for som tidligere hele tiden at være bundet op på ”brandslukning” og opdatering på systemerne. ”Vi har trygt lagt al serverdrift i hænderne på KMD, og vores informationssikkerhed bliver på den måde KMD’s informationssikkerhed. Når jeg får KMDs It-Revisionserklæring samt deres DS484:2005 certificering i hånden, som siger, at alt er i orden, så er det garanti nok for mig og vores revision,” siger Hans Fogh Rasmussen. Det betyder, at Hans Fogh Rasmussen ikke bruger tid på KIT magasinet 03_juni 11_side 28
at sætte sig ind i alle detaljerne i DS 484 hvad angår serversiden, men andre dele af DS 484 kan han ikke springe over. ”Vi har jo stadigvæk ansvaret for de informationer, vi håndterer lokalt. Så det, der har med beskyttelse af personfølsomme data at gøre, skal vi have procedurer for. Og det er alt lige fra håndtering af passwords, anvendelse af data, til sikring af pc’er på netværket,” siger han. Derfor er han for tiden i gang med at opdatere de eksisterende sikkerhedsprocedurer. Når det arbejde er færdiggjort, vil revisions- og rådgivningsfirmaet Deloitte få dokumenterne til godkendelse. Slutbrugerne husker sikkerheden ”Vi fastlægger sikkerhedsprocedurerne ud fra en rimelighedsbetragtning. Vi er en lille kommune, og ofte er der kun én person på et sagsområde. Vi har naturligvis procedurer for at tjekke, at folk kun ser de sager, de arbejder med. Men vi har grundlæggende en meget åben adgangsopsætning,” fortæller Hans Fogh Rasmussen. Samsø Kommune kører et rent Citrix-miljø, hvilket ifølge Hans Fogh Rasmussen i sig selv er en vigtig komponent i den informationssikkerhed, man kan sikre gennem den tekniske infrastruktur. Og så oplever han, at slutbrugerne generelt er meget gode til at huske de forskellige sikkerhedsanvisninger, for eksempel om adfærd på nettet, om at huske at scanne USB-stik før brug. Budskabet om, at det er på helt eget ansvar at gemme data på den lokale harddisk eller et USB-stik, bliver derfor også gentaget med jævne mellemrum og står også på en sticker øverst på tastaturet hos kommunens medarbejdere.
NYT FRA
Kit@
KITA, KL og Borgerservice Danmark indbyder til Digitaliseringsmessen11 d. 29/9 2011 i Odense Congress Center og du kan nu sikre dig din billet samt læse mere om dagen på www.digitaliseringsmessen.dk Sidste år havde Digitaliseringsmessen10 mere end 1200 besøgende og 80 udstillere. Messen er et heldagsarrangement, der giver både kommunalpolitikere, IT-chefer, fagchefer, projektledere og frontmedarbejdere unik mulighed for at blive opdateret på digitaliseringens muligheder.
”
Tidligere var vi bundet op på ”brandslukning” og opdateringer Hans Fogh Rasmussen, Samsø
Hvem gider angribe Samsø Kommune? Af Danmarks Statistiks undersøgelse ”Den offentlige sektors brug af it 2010” fremgår det, at de små kommuner oplever færre datatab på grund af manglende backup end store kommuner. Hans Fogh Rasmussen har et bud på en forklaring. ”I større kommuner er der selvfølgelig centraliserede systemer som hos os, men der er typisk også en række systemmæssige enklaver, som kan være sværere at holde styr på med hensyn til backup-rutiner. Hos os har vi ét sted, hvor alt bliver backet op,” siger han.
HUSK:Sæt kryds i Kalenderen til Kit@ Efterårsseminar den 6. og 7. oktober 2011. Nærmere information følger senere.
Ifølge samme undersøgelse har de små kommuner også i mindre grad været udsat for angreb udefra og uautoriseret adgang til data. Hans Fogh Rasmussen understreger, at det kun er en fornemmelse, men har nogle bud på en forklaring. ”Hvem gider bruge tid på at trænge ind udefra for at finde ud af noget om borgerne på Samsø? Og internt er vi så tæt på hinanden, at bare flovhedsparameteret ved en afsløring formentlig ville være nok til, at folk ikke begynder at søge oplysninger på hinanden,” forklarer han.
Fakta: Samsø Kommune: • 4.010 indbyggere (2010) • Opstod ved sammenlægning af Besser, Kolby, Nordby, Onsbjerg og Tranebjerg Kommuner • It-afdelingen består af to en halv ansatte • www.samsoe.dk
NÆSTE UDGIVELSE Næste nummer af KIT magasinet udkommer den 18. august 2011 - tema ”Digital strategi i praksis”
Annoncer 7515 1155 KIT magasinet 03_juni 11_side 29
TE MA:
Af Flemming Kjærsdam
Information
ssikkerhed
Mere end hver tredje kommune uden rutiner for personoplysninger Mere end hver tredje danske kommune har ingen ”rutiner for håndtering af personfølsomme oplysninger.” Så selv om kommunerne formelt følger anbefalinger vedrørende regelsæt fra DS484 om beskyttelse af personfølsomme informationer for it-systemerne, så svarer 37 procent at de ikke forankrer de nødvendige sikkerhedsrutiner i organisationen. Det fremgår af en nordisk undersøgelse i kommuner og regioner udført af konsulenthuset i-Trust. Undersøgelsen blev gennemført i et samarbejde mellem organisationer i fire lande, idet Grønland som nyt land, er med i 2010. Mere end 300 organisationer deltog og der er over 200 fuldførte besvarelser. Det viser, at området for informationssikkerhed får større opmærksomhed end tilsvarende for to år siden. At 37 procent af de danske kommuner ikke har rutiner for håndtering af personoplysninger, kan føre til tab af personfølsomme informationer. I resumeet af undersøgelsen
hedder det, at beskyttelse af personfølsom information er et tema i undersøgelsen. Resultaterne viser, at størstedelen af de deltagende organisationer prioriterer beskyttelse af følsomme informationer højt. Svarene fra respondenterne indikerer at sikkerhedshændelser ofte forekommer; som hovedregel relateret til menneskelige fejl, og ofte med konsekvenser for enkeltpersoner og personfølsom information. ”Hver femte kommune har slet ikke hændelsesregistrering. Det betyder, at fire ud af fem har. Dermed ligger de danske kommuner højere end ”øvrige regioner” i Norden. Men det betyder også, at anbefalingerne på sikkerhedsområdet ikke bliver fulgt. Og når fire ud af 10 kommuner ikke finder det nødvendigt at have procedurer for håndtering af ”hændelser”, så viser det, at kommunerne ikke er i mål med hensyn til implementeringen,” siger direktør Klaus Tingholm Kristensen, i-Trust. Ifølge Klaus Kristensen er formålet
Resultaterne for 2010 viser samme tendens som i 2008-undersøgelsen: Implementeringen af sikkerhed i praksis er lavere end omfanget af regler. Den opfølgende indsats er på et endnu lavere niveau. Danske kommuner og regioner: Hvor mange har hændelses-registrering?
Danske Regioner
Danske Kommuner
100%
81%
60%
64%
Hvor mange har en sikkerhedspolitik?
100%
89%
Hvor mange har Styregruppe for informationssikkerhed?
80%
56%
Hvor mange rapporterer status til øverste ledelse?
60%
44%
Hvor mange har delegeret roller og ansvar i organisationen?
60%
39%
Informeres den IS ansvarlige om medarbejderes regelbrud
Hvor mange kender Persondataloven?
60%
71%
Hvor mange har rutiner for håndtering af personoplysninger?
80%
63%
KIT magasinet 03_juni 11_side 30
med undersøgelsen at øge samarbejdet på tværs af landene. At udveksle erfaringer og få god praksis overført. I den forbindelse indgår undersøgelsen som et vigtigt led, idet den giver hver respondent viden om egen indsats i forhold til sammenlignelige organisationer. Samtidig giver undersøgelserne information til centrale agenturer om niveauet på nationalt plan og i forhold til andre lande. I Norge anvender NorSiS undersøgelserne i nationale kampagner. Undersøgelserne har dermed også en fremadrettet rolle for at få implementeret anbefalingerne. ”Der er i den seneste undersøgelse fra 2010 blevet introduceret en række værktøjer til de deltagende kommuner og regioner. Hver deltager har fået en respondentrapport, der viser egen score på en række nøgleområder i forhold til tilsvarende organisationer i ind- og udland,” siger Klaus Kristensen. Der er også mulighed for at få udarbejdet en ledelsesrapport.
I den nordiske undersøgelse fra iTrust har Kit-Magasinet udtaget de danske tal. Undersøgelsen viser, at rigtig mange – faktisk alle fem regioner og ni ud af 10 kommuner har en formuleret sikkerhedspolitik. Men blot 39 procent af kommunerne har delegeret roller og ansvar i organisationen, mens 63 procent har rutiner for håndtering af personoplysninger. Det betyder, at 37 procent ikke har rutiner for håndtering af personoplysninger. I regionerne, som har ansvaret for sygehusene, har fire ud af fem rutiner for håndtering af personoplysninger. Så der mangler nogle tiltag for at implementere sikkerhedspolitikken i organisationen.
dPublic Et digitalt fremskridt!
Slip systemerne fri
3blondes
Fremtiden er รฅben, mobil og orienteret mod det enkelte menneske. Med dPublic kan vi tilbyde valgfrihed pรฅ tvรฆrs af platforme. Tilpasset den enkelte kommune, afdeling, medarbejder og opgave. G3XEOLF JLYHU GLJ HW IRUVSULQJ JHQQHP ร HNVLELOLWHW RJ IULKHG 7LO ยกNRQRPLVW\ULQJ VDJVVW\ULQJ OยกQ RJ ledelsesinformation. Til medarbejdernes og borgernes fulde tilfredshed.
Undervisning Underv visning anno ann no 2011? 2011?
Få en moderne løsning med virtuelle desktops til håndtering af skole IT C2IT SkoleVDI: Bedre Undervisning til Færre Penge! Eleverne kan bruge deres egne pc’er Undgå spildtid Ingen dyre supportkrævende pc’er, som kan stjæles, på skolerne Tidssvarende muligheder for individuel undervisning Ingen n multimedieskat til lærerne.
Kontakt Kont takt os på 7216 0777 ellerr c2it.dk
Nu og så mu ligt som e n serv ice fra sky en: Fra 20 kr. pr. elev pr. må ned