KOMMUNERNES IT MAGASIN Nummer 1 / 2015 / ISSN 1399-7947
Kit
Magasinet
Staten strammer kravene til mobildĂŚkning Stort tema om datasikkerhed: VoksevĂŚrk udfordrer datasikkerheden i kommunerne Digitaliseringen presser Datatilsynet
K KUNDECASE U N DECASE | EUC LILLEBÆLT LI LLEBÆLLT
”DUSTIN BIDRAGER MED HURTIG OG KOMPETENT RÅDGIVNING”. Lars Juul It-chef EUC Lillebælt
EUC Lillebælt er en moderne erhvervsskole i Fredericia med ca. 950 årselever. Skolen udbyder en række erhvervsuddannelser, uddannelser på teknisk gymnasium samt en lang række efteruddannelser. Da EUC Lillebælts trådløse netværk skulle opgraderes, viste det sig, at producenten bag netop var ved at lukke og slukke. EUC søgte nu efter et nyt fremtidssikret netværk, der var lettere at administrere og blev, af Dustin, anbefalet det nye banebrydende Cisco Meraki Networks.
LÆS HELE CASEN PÅ DUSTIN.DK/SOLUTIONS ELLER RING PÅ 70 13 70 40, SÅ HJÆLPER VI DIG MED AT FINDE EN LØSNING, SOM FÅR DIN VIRKSOMHED TIL AT FUNGERE BEDRE.
Indhold
Nummer 01 / 2014
14
8
Dansk telepolitik uden retning
1
20
Spritny bredbåndskortlægning til kommunerne
Digitaliseringen lægger større pres på Datatilsynet
Fælles fodslag om datasikkerhed 18 TEMA
Datasikkerhed
18 31
Digitaliseringen lægger større pres på Datatilsynet Udfordringerne ligger inden for awareness og governance Åbning nu for at skærpe sikkerheden Sikkerheden skal ind i forretningsudviklingen Datasikkerheden højere op på den politiske dagsorden KMD’s cybercenter overvåger data fra hele kloden Mangel på awareness er den store udfordring i kommunerne
Kit@
KOMMUNERNES IT MAGASIN
Redaktion: Flemming Kjærsdam, telefon 4026 3615 Flemming@kjaersdam.dk
Udgiver: KIT@ - Kommunale It chefer. Formand: Henrik Brix, Favrskov Kommune For information om foreningen, medlemskab samt abonnement se www.itchefer.dk
Redaktionsudvalg: Henrik Brix, Favrskov Kommune Søren Kristensen, Hillerød Kommune Poul Venø, Herning Kommune Flemming Kjærsdam Louise Andersen
Annoncekonsulent: Louise Andersen, Koncept, telefon 3190 1155 la@koncept-net.dk Layout: www.znildt.dk Tryk: Jørn Thomsen A/S Oplag: 6.000 www.kitmagasinet.dk
Kit Magasinet / 01 / 2015 Side 3
KOMMUNENS IT-FORSVAR I SIKRE HÆNDER
Sikkerhed er vores DNA
Det, vi ved med sikkerhed er, at mennesker laver fejl. Derfor er det kompetente it-forsvar et, der knytter strategi og proces tæt sammen med teknologi og – ikke mindst – adfærd. KMD har etableret et nyt Security Analytics Center (SAC), hvor vi kombinerer avanceret teknologi og menneskelig indsigt. I SAC’en bliver trusler hurtigt opdaget og håndteret, så praksis i kommunen kan ændres. Fordi vi er med til at skabe det digitale Danmarks infrastruktur, og fordi vi kender hverdagen i kommunerne, kan vi levere den it-sikkerhed, der er relevant og nødvendig for jer.
Se her hvordan
Af formand Henrik Brix, KIT@
Kit@Lederen
@
Det digitale Danmark tager form
Embedsmænd i flere ministerier, en parlamentarisk arbejdsgruppe i Folketinget bestående af alle otte partiers it- og retsordførere og andre gode mennesker har gennem en længere periode arbejdet på at få nogle af de helt fundamentale brikker på plads til at håndtere vores digitale velfærdssamfund. Jeg tænker bl.a. på regeringens digitale vækstplan, som omhandler vores digitale infrastruktur med mere. Og jeg tænker også på de forskellige rapporter og beretninger om datasikkerhed, der for nyligt er blevet publiceret. Vi befinder os midt i digitaliseringens tidsalder og to nye digitaliseringsstrategier er stærkt på vej. Den nye fælleskommunale digitaliseringsstrategi forventes godkendt af KL’s bestyrelse i slutningen af april og til efteråret kommer den fællesoffentlige digitaliseringsstrategi fra Digitaliseringsstyrelsen. Begge strategier får en løbetid frem til 2020. Strategierne, vækstplanerne og beretningerne er alle vigtige og nødvendige grundpiller for det kommende digitale velfærdssamfund. Selv om der kan rejses kritik af beretningen om datasikkerhed, er det første gang, at der er politisk enighed fra samtlige otte partier om at dække området. Selv om der er kritik af styringen og udviklingen på bredbåndsmarkedet i forbindelse med den digitale vækstplan, er
”
det trods alt en samlet plan for området. Så alt i alt bliver digitaliseringens betydning mere synlig og det digitale Danmark tager form. Digital infrastruktur Uden en komplet digital infrastruktur vil vi få et Danmark, der risikerer at blive delt op i et digitalt A-hold og et digitalt B-hold. Nogen vil sikkert hævde, at det allerede er tilfældet. Vi vil få ”huller” i digitaliseringen af de kommunale ydelser, som regeringen har pålagt os. Digitaliseringen skal gælde hele landet. Det er vel overflødigt at nævne, at det er bedst at spille med på det digitale Ahold. B-holdet er dem, der ikke har adgang til ordentlige internetforbindelser, og som heller ikke vil kunne få det, selv om de betalte for det. Der er noget galt i Danmark, når vi indtil videre ikke har været i stand til at planlægge, finansiere, udbyde digitale forbindelser til konkurrencedygtige priser over hele landet. Det er den eneste basale infrastruktur, hvor udrulningen er overladt helt til markedskræfterne selv om det har vist sig ganske utilstrækkeligt i mange år. Bredbånd og mobildækning er en forudsætning for udvikling af arbejdspladser og menneskers lyst til at bo uden for byerne. Det er lige så vigtigt som al anden infrastruktur.
Datasikkerheden Det andet emne, der optager kommunerne, er datasikkerheden i det offentlige. Datasikkerheden i kommuner, regioner og stat er også en forudsætning for digitaliseringen. Kommunerne bærer, ligesom regioner og staten, ansvaret for at beskytte borgernes data. Hvis ikke vi formår at beskytte borgernes og virksomhedernes data på betryggende vis og få fastholdt en sikker dialog via Digital Post og andre sikre kanaler, så vil digitaliseringen få svært ved at lykkes i den forstand, at vi ikke kan fastholde borgernes tillid. Denne tillid er også en helt afgørende faktor for digitaliseringen. Derfor er det udredningsarbejde, det lovgivningsarbejde, og de initiativer fra EU-kommissionen om Persondataforordningen, også væsentligt. Jeg er dog ingen stor beundrer af det ekstra arbejde som ordningen vil pålægge kommunerne og ej heller bøder. Det er vigtigt, at arbejdet med datasikkerhed bliver en del af de to nye digitaliseringsstrategier – den fælleskommunale og den fællesoffentlige - som bliver en kendsgerning frem mod 2020.
■
Bredbånd og mobildækning er en forudsætning for udvikling af arbejdspladser og menneskers lyst til at bo uden for byerne.
Kit Magasinet / 01 / 2015 Side 5
Infrastruktur
Af Flemming Kjærsdam
Katrine Winding, Erhvervsstyrelsen
Staten strammer kravene til mobildækningen Staten skærper kravene til mobildækningen ved de kommende tre frekvensauktioner i 2016, 2018 og 2019. Det er konklusionen efter regeringen har lagt sin nye ”Vækstplan for digitalisering i Danmark” i december 2014.
I regeringens nye digitale vækstplan frem mod 2020 er der kun afsat få og små midler til at løfte de i alt 23 initiativer. Der er tale om en stor plan med begrænsede midler, hvor finansieringen altovervejende sker indirekte. En af de vigtigste kilder til finansiering er, staten fremover vil kræve bedre mobildækning af mobiloperatørerne i forbindelse med frekvensauktionerne, som vil påvirke den pris, operatørerne vil betale for frekvenstilladelserne på auktionerne. Dermed kan man sige, at pengene fra statslige auktioner i højere grad vil investeres i kommuner med dårlig eller mangelfuld dækning fremfor at staten skummer fløden helt så meget som hidtil. ”Bedre mobildækning i hele landet er et højt prioriteret område fra regeringens side. Det er der ingen tvivl om,” siger vicedirektør Katrine Winding, Erhvervsstyrelsen, som svar på spørgsmålet
Side 6 Kit Magasinet / 01 / 2015
om, hvor stor betydning det har for politikerne på Christiansborg at få lukket mobilhuller i mange af landets kommuner. I regeringens digitale vækstplan hedder det: ”Ved de kommende frekvensauktioner i 2016 og i 2018/2019 vil regeringen have fokus på at stille dækningskrav, som markant forbedrer dækningen i de områder, der har dårligst dækning”. Pengene fra auktioner er ikke investeret Statskassen har ved tidligere auktioner på mobilområdet hentet mellem 5,6 og 5,7 mia. kr. i indtægter fra mobiloperatørerne uden at disse penge er blevet investeret i mobilområdet. Disse store indtægter, der fortsat ruller ind i statskassen, fik KL’s formand Martin Damm (V) til at opfordre staten til, at nogle af pengene blev ”investeret” i bedre mobildækning i kommuner med manglende eller mangelfuld dækning.
”
Med 800 MHz auktionen i 2012 har TDC ikke kun rullet dækningen ud i de 207 postnumre, men også i andre dele af landet. Og vi kan se det har en positiv effekt. Derfor vil der ved de kommende auktioner i 2016, 2018 og 2019 blive stillet tilsvarende krav. Katrine Winding, Erhvervsstyrelsen
Med den nye vækstplan fra regeringen ser det ud som om, der er blevet lyttet til kritikken fra kommunerne. Regeringen har dog ikke til lejligheden fundet penge til at investere i bedre mobildækning her-og-nu. Til gengæld vil regeringen fremover skærpe kravene til mobildækningen, ligesom det skete ved den seneste auktion i december 2012. Her blev TDC i udbuddet pålagt at forbedre mobildækningen i 207 postnumre. Denne forbedring vil være fuldt udbygget i 2015, og det har ifølge vicedirektør Katrine Winding givet et ”vigtigt løft”. Ikke kun i lokalområderne. Det slår også igennem på landsplan. ”Med 800 MHz auktionen i 2012 har TDC ikke kun rullet dækningen ud i de 207 postnumre, men også i andre dele af landet. Og vi kan se det har en positiv effekt. Derfor vil der ved de kommende auktioner i 2016, 2018 og 2019 blive stillet tilsvarende krav. Vi kan se en vækst i 10 Mbit/s download på mobilområdet på landsplan. Det er en direkte effekt af at have stillet krav om bedre dækning. Det batter noget,” siger Katrine Winding. Staten vil med andre ord ikke skumme fløden helt så meget på at udstede frekvenser til mobilområdet. I og med at staten stiller større krav til mobildækning, vil den få færre indtægter ved disse auktioner, fordi teleoperatørerne skal bruge flere penge på at udbygge nettet. Den større mobildækning, som også omfatter de tyndt befolkede områder, bliver dyrere for teleselskaberne, og dermed bliver de udstedte licenser ”mindre værd” for teleselskaberne. Omvendt er der tale om store udbud. Selv om de kommende licenser på mobilområdet bliver omfattet af større dækning, er der ikke grund til at have medlidenhed med mobiloperatørerne. Mængden af data, der går over mobile enheder, fordobles hvert andet år. De tre nye auktioner i 2016, 2018, 2019 omtales af Katrine Winding meget vigtige for udbygningen af den digitale infrastruktur på mobilområdet. ■
Glemte passwords koster...
I regeringens vækstplan hedder det: ”God mobil- og bredbåndsdækning i hele landet. Danmark har internationalt set en veludbygget mobil- og bredbåndsinfrastruktur med generel god dækning for bredbånd, mobiltale og lave forbrugerpriser. Der er dog fortsat områder af landet, hvor borgere og virksomheder ikke har adgang til de bredbåndshastigheder og den mobildækning, som de ønsker. Samtidig kan der konstateres en stærk vækst i brugen af mobildata, og det er derfor helt centralt at sikre tilstrækkelig kapacitet i fremtiden. Dette kræver betydelige investeringer, men også at det offentlige sikrer gode rammer herfor.”
Kommende auktioner på mobilområdet •
800 Mhz i 2016 – genudbud
•
900 Mhz i 2018 – genudbud
•
700 Mhz i 2019 – bruges i dag til antenne TV. Bruges til mobilt bredbånd fra 2020.
Password P ass a ord Reset assw med NemID er løsningen øsn
Nu båd AD- og e E passwo OJ rrd ds!
Dinee medarbejdere password medarbejdere kkan an selv skifte passwor rd medd NemID NemID uuden den at kkontakte ontakte it-supporten. Se en demo demo og læs mere mere på pwreset.signaturgruppen.dk eset. eset.signaturgruppen.dk Hvorr længe læn nge har I råd rååd til at vvente? ente? Kontakt akt os på tlf. 70 25 64 25 takt
Kit Magasinet / 01 / 2015 Side 7
Infrastruktur
Af Flemming Kjærsdam
Spritny bredbåndskortlægning til kommunerne I løbet af en måned lancerer Erhvervsstyrelsen en ny kortlægning af bredbånd for fastnet til kommuner og regioner. Dermed får alle kommunale it-chefer et nyt værktøj i hænderne, hvor det er muligt i egen kommune at se dækningen, og hvilket selskab der udbyder hvad.
Erhvervsstyrelsens nye kortlægning af bredbånd for fastnet kommer i en særlig udgave målrettet kommuner og regioner. Der kommer desuden en kortlægning til forbrugerne. Den nye kortlægning kommer til at vise dækning med fastnet bredbånd helt ned på adresseniveau, men kan også vise dækningen i større områder alt efter kommunens behov. Den gamle kortlægning baserede sig på teleselskabernes egne beregninger, og hvor dækningen kun viste hvad der teknologisk var adgang til. Det var ikke det samme som at kommunen kunne købe det. Med den nye kortlægning kan kommuner både se services, der kan abonneres på, og hvad der teknisk set er adgang til. Det omfatter fastnet bredbånd på fiber og kobber. ”Vi laver bl.a. den nye bredbåndskortlægning for, at kommunerne kan stille mere præcise krav til teleselskaberne. Hidtil har bredbåndskortlægningen været et bud på, hvad der teknisk var til stede. Med den nye kortlægning vil it-chefen kunne se dækningen for hele kommunen og hvilket selskab der dækker med hvilken teknologi. Det giver også kommunerne et overblik over, hvor der eventuelt mangler dækning, og det kan de stille krav om i et udbud,” siger vicedirektør Katrine Winding, Erhvervsstyrelsen. Denne nye kommunale kortlægning indgår i en ny service, der hedder tjekditnet.dk.
”
Tjekditnet.dk bliver en service, som alle danskere kan bruge til at tjekke, hvilket selskab der leverer bedst mulig mobil- og internetdækning på din egen adresse. Tjekditnet indeholder dels en indgang målrettet forbrugerne, dels en indgang målrettet kommuner og regioner. I første omgang vil tjekditnet.dk indeholde fastnet bredbånd, dvs. kobber, fiber og bredbånd via kabel-tvnettet. Kortlægningen for mobilt bredbånd og mobil tale er ikke endeligt klar. Ifølge Katrine Winding skyldes det, at teleselskaberne er ude i et nyt område. Hun forventer, at denne del af kortlægningen er klar før sommerferien. ”Det er en vanskelig opgave for mobilselskaberne, fordi de skal levere data på samme måde, så det er muligt for borgere, virksomheder og kommuner at sammenligne dem, og da vi er pionerer, er der ingen andre selskaberne kan lære af”. Tjekditnet.dk kommer således til at samle kortlægninger på mobil og fastnet i samme ombæring på en ny og mere retvisende måde end hidtil. ■
Vi laver bl.a. den nye bredbåndskortlægning for, at kommunerne kan stille mere præcise krav til teleselskaberne. Hidtil har bredbåndskortlægningen været et bud på, hvad der teknisk var til stede. Med den nye kortlægning vil it-chefen kunne se dækningen for hele kommunen og hvilket selskab der dækker med hvilken teknologi.
Side 8 Kit Magasinet / 01 / 2015
De 23 indsatsomrüder og initiativer i vÌkstplanen: God mobil- og bredbündsdÌkning i hele landet 1. 700 MHz frigøres til mobilt bredbünd 2. DÌkningskrav i frekvensauktioner og offentlige udbud 3. FÌrre gravearbejder og bedre udnyttelse af rør og kabler til bredbünd 4. Aftale om bedre mobildÌkning i yderomrüder 5. Styrket fusionskontrol pü teleomrüdet 6. Undersøgelse af nye indholdstjenesters betydning for konkurrencen 7. Nye løsninger til mobildÌkning i private hjem 8. Nye finansieringsmuligheder for digital infrastruktur 9. Tjekditnet.dk og EU-mÌrkningsordning for antennekvalitet i mobiltelefoner
Styrket anvendelse af IT og data i dansk erhvervsliv 10. 11. 12. 13. 14.
Partnerskab for e-handel og digitalisering af detailhandlen Digitaliseringspartnerskaber med brancheorganisationer Et bedre digitalt indre marked Partnerskab om Big Data i erhvervslivet Lancering af privacy-kompas der fremmer databeskyttelsen i danske virksomheder 15. Etablering af VirksomhedsrĂĽd for IT-sikkerhed 16. Sikkerhedstjek skal styrke IT-sikkerheden i danske virksomheder
Digitale kompetencer og lÌremidler skal fremmes 17. Virksomhedsrettet pulje til udvikling af innovative digitale lÌremidler 18. Styrkelse af de digitale kompetencer blandt børn og unge 19. KortlÌgning af virksomheders behov for digitale kompetencer 20. Bedre muligheder for at opkvalificere og rekruttere IT-arbejdskraft
EN DIGI DIGITAL TAL POST POST-LĂ˜SNING, OSTT-L - Ă˜SNING, DER VIRK’ER SLUT MED A SLUT ATT BRUGE TID T P PĂ… Ă… MANUEL MANUEL ANUE FORDELING AF POST ST FRA FRA VIRKSOMHEDENS VIRKSOMHE DIGITALE POSTKASSE POSTKASS KASSE P Ă… VIRK.DK. DIGITALE PĂ… INTEGRA ATI AT TION T SERVER ER (CIS)
BESKED BERIGELSE
AFDELINGER/ MED EDARBEJ ARBEJDERE MEDARBEJDERE
REGEL EVALUERING
BESKED FORDELING
S SMTP MTP FFTP TP OIO
C Convergens onvergens prĂŚsenter prĂŚsenterer er en lø løsning øs øsning der ikk ikkee bar baree tømmer er virksomheders og myndighed ghe hedders postkasse ppĂĽ Virk.dk, dk, men m myndigheders ogsĂĽ beriger og for deler err bbesk ederne til de rrette ette modt modtager e e. fordeler beskederne modtagere. Helt automatisk. automatisk. løsningen Som noget ganske gansk nske unikt, kt, er lø øsningen i stand øsning and till at a hĂĽndtere hĂĽndtere Ć’Ć’NGT QXGT FGP PWX„TGPFG IT„PUG RČˆ /$ JXKNMGV GT GV NGT QXGT FGP PWX„T „ GPFG IT„PUG RČˆ /$ JXKNMGV GT GV behovv i fler fleree for forvaltningsomrĂĽder. stigende beho valtn al ningsomrĂĽder omr deer.  $'0*#805 -1//70' * 56'4 5614' (14&'.' - $'0*#805 -1//70' * 56'4 5614' (14&'.' ..‡UPKPIGP GT DN C KORNGOGPVGTGV JQU -‡DGPJCXPU -QOOWPG ‡UPKPIGP GT DN C KORNGOGPVGTGV JQU -‡DGPJCXPU -QOOWPG der err høster st ore rressourcemĂŚssige essour urcemĂŚ cemĂŚssige mĂŚ for dele og har et langt store fordele mer eeffektivt optim ma samspil sam ektivt og optimalt med Virk.dk. meree eff * WTVKI QI UKORGN QRU„VPKPI JCT UKMTGV CV QOMTKPI CH CNNG *WTVKI QI UKORGN QRU„VPKPI JCT UKMTGV CV QOMTKPI CH CNNG omatisk. henv endelserne erne nu n ekspeder deres vider henvendelserne ekspederes videree aut automatisk. &GTOGF GT FGT IKXGV OWNKIJGF HQT CV FG UCOOG TGUUQWTEGT PW & GTOGF GT FGT IKXGV OWNKIJGF HQT CV FG UCOOG TGUUQWTEGT PW meree ener energi kan lĂŚgge ge me meget eg mer gi og koncentration i borgerne andree omrĂĽder omrĂĽder.. betjeningen ngen aaf bor gerne pĂĽ andr
Offentlig digitalisering med et erhvervsfokus 21. Analyse af muligheder for automatisk indberetning til det offentlige 22. Ă˜get brugervenlighed og fokus pĂĽ erhvervsmĂŚssige konsekvenser i offentlig digitalisering 23. ReguleringsmĂŚssige barrierer for digital vĂŚkst skal fjernes
 05-'4 + 1)5Ç '0 . 50+0) &'4 ) 4 5#/52+..'6  05-'4 + 1)5Ç '0 . 50+0) &'4 ) 4 5#/52+..'6 / '& 8+4 + - &- .'66'4' 1) (Ç (4+)+8'6 4'5517 1 4%'4 /'& 8+4- &- .'66'4' 1) (Ç (4+)+8'6 4'55174%'4 6+. #0& 0 4' 12)#8'4! 6+. #0&4' 12)#8'4!
Find vĂŚkstplanen pĂĽ evm.dk
LĂŚs ĂŚs mer meree pĂĽ www me www.convergens.dk w .convergens.dk ller ring rin 702 7020 20 33820 820 eller
%108'4)'05 # 5 *8+&58 4/'48', 4Â &184' % %1 08'4)'05 # 5 *8+&58 4/'48', 4Â &184' 66.( 999 %108'4)'05 &.( 999 %108'4)'05 &-
infrastruktur
Af Flemming Kjærsdam
DF: Regeringens digitale vækstplan løser ikke de væsentligste udfordringer ”Den manglende konkurrence på bredbåndsmarkedet er den største udfordring i dansk telepolitik. Og det tager regeringens digitale vækstplan slet ikke hånd om,” siger itordfører Dennis Flydtkjær, DF, som synes, at regeringens digitale vækstplan ikke løser de væsentlige udfordringer.
Regeringen lagde kort før jul sin nye digitale vækstplan frem med i alt 23 initiativer (se side 9). It-ordfører Dennis Flydtkjær, DF, synes, der er gode ting i vækstplanen, men at den er skæmmet af, at den ikke har det vigtigste med. ”Regeringens digitale vækstplan er gammel vin på nye flasker. De ting, regeringen foreslår om mere fusionskontrol og mærkning af telefoner er begge initiativer, der allerede sat i gang. Så der er intet nyt under solen. Men markedet for bredbånd fungerer ikke, og det problem tager vækstplanen slet ikke hånd om,” siger Dennis Flydtkjær. Dermed lægger politikeren sig på linje med teleeksperten Mogens Ritsholm, med energiselskaberne og flere af de store teleleverandører på markedet. ”Der tales meget om, at vi skal skabe arbejdspladser i hele landet. Men hvis samfundet ikke løser problemet med ordentlige bredbåndsforbindelser, så skaber vi ikke arbejdspladser i hele landet og vi gør det ikke attraktivt at bo i landområder. Så deler vi Danmark op i et digitalt A-hold og et digitalt B-hold. De, der har gode internetforbindelser og de, der har dårlige internetforbindelser. Håndteringen af disse væsentlige problemer er slet ikke taget med i den digitale vækstplan,” siger Dennis Flydtkjær. Målt på markedsandele for de alternative udbydere på markedet for fastnet bredbånd, så har det danske bredbåndsmarked en placering som det 3. dårligste i EU. I 2008 var de samlede investeringer fra teleselskaberne knap 10 mia. kr. I den seneste branchestatistik fra Erhvervsstyrelsen fremgår det, at det er faldet til 5,5 mia. kr. i 2013 – det laveste niveau i 10 år. ”Det skal gøres mere attraktivt at investere i digital infrastruktur, og det skal naturligvis være en del af en digital vækstplan,” siger Dennis Flydtkjær. Handler for meget om mobildækningen Dennis Flydtkjær synes der er for mange initiativer om manglende mobildækning. Han synes også manglende mobildækning er vigtigt, men han synes at sammenhængen mellem bredbånd og mobildækning er væsentligere. De indgår begge i en digital infrastruktur. Den mobile teknologi kan ikke overtage bredbåndsteknologien og erstatte den. Derfor er det efter hans opfattelse vigtigt, at planen indeholder begge dele. ”Man får ikke virksomheder til at placere sig i Vestjylland på grund af god mobildækning. Det kræver lidt mere end det. Derfor er det vigtigt at have en plan for udbygning af både bredbånd og mobildækning, da mobilmaster er forbundet med bredbånd. Den
Side 10 Kit Magasinet / 01 / 2015
balance mellem mobil og bredbånd er heller ikke en del af regeringens digitale vækstplan,” siger Dennis Flydtkjær.
■
”
Der tales meget om, at vi skal skabe arbejdspladser i hele landet. Men hvis samfundet ikke løser problemet med ordentlige bredbåndsforbindelser, så skaber vi ikke arbejdspladser i hele landet og vi gør det ikke attraktivt at bo i landområder. Dennis Flydtkjær, DF
LEVER LEVER I OP TIL DEN LOVPLIGTIGE LOVPLIGTIGE LOGNINGSKONTROL? LOGNINGSKONTROL? Er der ubudne gæ ster ster på netvæ netvæ rket? rket? Eller p personfølsomme ersonfølsomme data på v vej ej ud af organisaorganisationen? M Med ed en L Log og M Management-løsning anagement-løsning får du den nø nødvendige dvendige indsigt o og g evne til at rreagere eagere på sikk sikkerhedshæ erhedshæ ndelser: • • • • • •
opbevaring o g mulighed ffor or at tilgå lo gs Nem indsamling, opbevaring og logs og inddæ mning af trusler trusler i infrastrukturen infrastrukturen Hurtig identifikation og Automatisk alarmering v ed sikk erhedsbrud o g analyse Automatisk ved sikkerhedsbrud og Strømlinet dokumentation af compliance o gp otentielle trusler trusler Strømlinet og potentielle Overblik gennem dashboards dashboards og og rapporter rapporter Overblik Højere sikk erhedsniveau og og effektiv effektiv udnyttelse udnyttelse af it-ressourcer it-ressourcer Højere sikkerhedsniveau
Få Log Managment-løsning F å en L og M anagment-løsning hvor hvor du selv overvåger over våger eller lad vores vores specialister specialister gøre gøre det for for dig. Kom Kom i gang fra fra kr. kr. 4.995,- ekskl. moms pr. pr. måned. Kontakt tlf.. 3283 0430 eller via Kontakt os for for en pris, der dæ kker kker din organisations organisations behov behov på tlf info@dubex.dk. info@dubex.dk. ex.dk
Dubex er Danmarks førende, forretningsorienterede it-sikkerhedsspecialist. Vi leverer og supporterer sikkerhedsløsninger til over 500 lokationer globalt og har siden 1997 hjulpet private og offentlige virksomheder med at håndtere risici, imødekomme forandringer og understøtte en fleksibel væ kst. Vores dybdegående tekniske ekspertise og brancheerfaring samt en omfattende produktportefølje og dokumenterede resultater gør Dubex til den ideelle samarbejdspartner for it-afdelinger, der ønsker at bidrage til virksomhedens succes.
MANAGING RISK. ENABLING GROWTH.®
KØBENHAVN K ØBENHAVN AARHUS A ARHUS
Gyngemose G yngemose Parkvej Parkvej 50, DK-2860 Søborg Søborg Åbogade Å bogade 15, DK-8200 Aarhus A arhus N
KONTAKT K ONT TAK A T
Tlf.. +45 3283 0430 Tlf Info@dubex.dk, Inf o@dubex.dk , www.dubex.dk www.dubex.dk
ISO 27001 Certificeret Certificeret inden for for informationssikkerhed informationssikkerhed SKI udvalgt udvalgt leverandør leverandør
Infrastruktur
Af Flemming Kjærsdam
”
Vi har endnu til gode at få drøftet de kommunale omkostninger med staten. Martin Damm, KL
KL efterlyser ambitioner i digital vækstplan Regeringens digitale vækstplan modtages af kommunerne med et både-og. Det er positivt at få en plan. Men den mødes også med skepsis. Ikke mindst de dele af planen, der omfatter finansieringen af planen, og som først går i drift om nogle år. ”Kommunerne har ligesom jeg noteret, at væsentlige initiativer i den digitale vækstplan først kommer ud at virke frem mod 2020. Det kunne godt være mere ambitiøst,” siger KLs formand Martin Damm (V). Overordnet set tager kommunerne og KL godt imod regeringens digitale vækstplan. Men KL’s formand Martin Damm (V) har også en række indvendinger mod en række af de initiativer, der først vil få effekt på den lange bane. Ikke mindst forhold omkring finansiering. ”Det er en plan og vi har endnu til gode at få drøftet de kommunale omkostninger med staten.” ”I KL ser vi positivt på den digitale vækstplan og vurderer, at den på en række områder imødekommer kommunernes ønsker. Om det vil lykkes, kommer bl.a. til at afhænge af de krav, der stilles til teleselskaberne. KL forventer, at der stilles krav til god dækning og kapacitet i nettet både i byer og på landet. I dag er det utilstrækkeligt begge steder. Vores bekymring går på, at mange af initiativerne er rigtige, men at der går
Side 12 Kit Magasinet / 01 / 2015
adskillige år, før de får effekt. Tilladelsen til, at kommunerne ”må” købe ydelser, f.eks. til bedre dækning i lokalområdet, kan komme til at betyde ”bør” og dermed blive en ”udgift”. De kommunale omkostninger har vi endnu til gode at få drøftet med staten,” siger Martin Damm, KL’s formand. Virker først i 2020 Flere af indsatserne i den digitale vækstplan kommer først til at virke i 2020. ”Det kunne godt være mere ambitiøst. Men alt der går i den rigtige retning, tager vi positivt imod. Opmærksomheden fra politisk hold må dog hele tiden rettes mod gabet mellem udbud og efterspørgsel. I øjeblikket stiger den mobile datatrafik meget kraftigt hvert år,” siger Martin Damm, KL’s formand.
Ifølge Erhvervsstyrelsens undersøgelser bliver mængden af mobildata, der sendes gennem den mobile infrastruktur fordoblet hvert andet år. Det vil sige, hvis kapaciteten ikke øges tilsvarende i takt med efterspørgslen, vil dækningen opleves dårligere. ”En god netadgang giver god mulighed for, at sosu-medhjælpere og andet udekørende personale hele tiden kan være opdaterede med arbejdsopgaver, og at det kommunale sundhedssystem kan virke mv.. En god netadgang er også en forudsætning for, at de selvbetjeningsløsninger, som staten og kommunerne har lavet i de senere år, kan levere de serviceforbedringer og de effektiviseringer, der er forudsat,” siger Martin Damm, KL’s formand. ■
”Hvis det er TDC, så skal vi over i den østlige ende af marken” Faxe Kommunes borgmester Knud Erik Hansen (S) fortalte en historie fra det virkelige liv om oplevet dækning i en lokal gårdbutik. Da han skulle betale med mobilen, svarede indehaveren: ”Hvis det er TDC, så skal vi over i den østlige ende af marken.” Faxe Kommunes borgmester Knud Erik Hansen (S) skulle før jul købe lidt ind hos Lottes Økologiske Hvidløg ude på landet. Borgmesteren havde ikke kontanter med, så Lotte spurgte, om han havde Mobile Pay. Det havde han. Lotte: ”Så skal vi lige op på marken.” Da de var kommet op på marken spurgte hun, hvilken udbyder han havde. Borgmesteren svarede TDC. ”Så skal vi over i den østlige ende af marken.” Anekdoten fra det virkelige liv blev fortalt på KL’s Kommunaløkonomisk Forum af borgmester Knud Erik Hansen. Martin Damm: ”Det er et grelt eksempel på, hvorfor det er bydende nødvendigt, at vi får styr på den digitale infrastruktur. Det er ikke realistisk at tro, at markedet lukker alle
mobilhuller eller sikrer bredbånd til alle. Vi mener stadigvæk, at eksemplet med Bornholm med kun én udbyder eller udbuddet i Nordjylland viser, at der er brug for særlige statslige indsatser for at dæmme op for, at vi ender med et digitalt A- og et B-hold. Jeg ser derfor frem til, at kortlægningen af mobil- og bredbåndsdækning bliver færdig”. ■
R
daniasoftware.com Q dynamictemplate
Q outlooksignature
Q brandmanagement
Infrastruktur
Af Flemming Kjærsdam
Dansk telepolitik uden retning ”Konkurrencen på bredbåndsmarkedet har det skidt og dansk telepolitik er uden retning”. Det mener civilingeniør Mogens Ritsholm, der i hele sin aktive karriere har arbejdet inden for teleområdet.
I midten af januar 2015 kom de sidste høringssvar ind til Erhvervsministeriets bredbåndsanalyse. Analysen, der har været i offentlig høring, viser, at konkurrencen lider under forældet tankegang i telesektoren og at regeringen med sin nye digitale vækstplan ikke har et eneste initiativ, der vil ændre på konkurrenceforholdene. ”Derfor er dansk telepolitik uden retning,” mener en af eksperterne på teleområdet, civilingeniør Mogens Ritsholm. ”Det er forstemmende at der ikke er nogen retning i dansk telepolitik. Bredbåndsanalysen viser, at markedet ikke fungerer, og derfor er det skuffende, at der ikke er initiativer i den nye digitale vækstplan, der grundlæggende set vil rette op på den situation. Vi har brug for at finde den nøgle, der låser markedet op,” siger Mogens Ritsholm. Det danske telemarked har været liberaliseret siden 1996. Efter 18 år er der ikke kommet mere konkurrence mellem operatørerne. Men hvad værre er. Der er heller ikke udsigt til, at der er ændringer på vej som vil åbne op for den fastlåste konkurrence. Mogens Ritsholm efterlyser, at politikerne tager et større ansvar for telepolitikken og udstikker nye mål, som vil skabe mere konkurrence på markedet. I Bredbåndsanalysen tages en række af de emner op, som efterhånden har været diskuteret i en hel del år. F.eks. at TDC skulle give adgang til deres bredbånd for eksterne tv-udbydere, så de kunne tilbyde det samme på TDC’s net som TDC gør gennem YouSee. Et emne som, at forbrugere skulle kunne købe bredbånd særskilt hos TDC uden at være tvunget til at købe tv-programmer. Det ville skille den digitale infrastruktur fra tjenesterne. Dette emne, som er yderst relevant i en analyse af konkurrenceforholdene, er slet ikke taget med i analysen. ”Det fastslås bare i analysen, at der er tekniske hindringer ved at gøre det. Ja, selvfølgelig er der det. Men de er til at løse, hvis
Side 14 Kit Magasinet / 01 / 2015
man vil. Det er forstemmende læsning. Jeg sidder tilbage med en fornemmelse af, at der ikke er styr på det, og at der ikke er en retning, en langsigtet plan for telepolitikken, og det ærgrer mig,” siger Mogens Ritsholm. Regler i stedet for konkurrence Det, der i stedet bliver lagt op til, er flere regler og mere kontrol med telesektoren. ”Det er helt galt. Man skaber ikke mere konkurrence med flere regler. Det er skuffende, at der ikke er politikere, som har en vision for telepolitikken. Markedet kalder på ”strukturel adskillelse”, hvor den digitale infrastruktur og tjenesterne skilles ad. Der er visse steder i rapporten, hvor man kommer ind på emnet om ”strukturel adskillelse”, men det kommer ikke videre end det,” siger Mogens Ritsholm. ”Der henvises til, at vi kunne sætte en lavere beløbsgrænse for fusioner, fordi TDC er røget under radaren hver gang de har købt et andet selskab. Købet af Dongs fibernet fløj under radaren, da bagatelgrænsen for fusioner dengang var under 300 mio. kr. Beløbsgrænsen blev siden sænket til 100 mio. kr. hvor den er i dag. Købet af Com-x fløj også under radaren. Men at sænke disse grænser eller lave et råd for fusionskontrol, skaber jo ikke mere konkurrence,” siger Mogens Ritsholm. Ifølge Mogens Ritsholm er det som om, at man har glemt selve meningen med liberaliseringen. Det var ikke kun at stille krav og regulere teleselskaberne. Der skulle også skabes mere konkurrence mellem selskaberne. ”I dag 18 år efter kan vi konstatere, at vi ikke har fundet det rigtige system. Det er ikke den rigtige konstruktion. Men et stort problem er, at ministeriet heller ikke har forstået, at man ikke har det rigtige system. Der peges ikke på nogen løsninger. Det hele ender med i Bredbåndsanalysen, at man ikke skal gøre noget, og det er forstemmende.”
Vertikal integration Den konkurrencesituation, der er på det danske bredbåndsmarked, kalder Mogens Ritsholm med teknisk begreb for vertikal integration. ”Et afgørende problem for konkurrencen på det danske telemarked er, at operatørerne opbygger forskellige digitale infrastrukturer, som de ejer hver især samtidig med at de også ejer de tjenester, der udbydes på infrastrukturen. Det er ”vertikal integration”, som ikke giver kommuner, forbrugere og virksomheder reelle muligheder for at vælge tjenester til og fra. Markedet låses fast i pakkeløsninger,” siger Mogens Ritsholm. Hvis man overfører dette til rejsebranchen, ville det svare til, at når vi havde valgt flyselskab, skulle vi bo på et hotel, der er ejet af flyselskabet, og spise den mad på hotellet, som bliver leveret af et firma, som flyselskabet ejer. Og hvis du nu ønskede at spise et andet sted, skulle du booke et andet flyselskab på hjemturen. Lidt karikeret. Men sådan er det danske bredbåndsmarked i dag. Det består af færdige pakker og ikke af særskilte tjenester, som forbrugere og kommuner kan vælge imellem. Vælger du TDCs bredbånd, vælger du også YouSee som TVpakke, internet og fastnet. Alt eller intet. Vælger du et energiselskab siger de Waoo med tilhørende tv fra Stofa. Alle udbydere på det danske marked forsøger at skabe sig et monopol på den infrastruktur, som de selv har bygget op. ”Telemarkedet består af operatører, der vil fastholde vertikale monopoler. Det gælder om at binde kunder på eget net og så sætte sig på internet, tv, telefoni. Derfor oplever vi investeringer i kobber, kabel-tv og fiber i de samme områder, mens der samtidig er områder, der slet ikke får nogen af delene og bliver hægtet af udviklingen,” siger Mogens Ritsholm. Derfor lider konkurrencen samtidig med at økonomien i teleselskaberne presses. For de kan ikke få kunder nok ved at maksimere på en regional infrastruktur. ”Det er jo helt vanvittigt, at TDC opgraderer kobbernet i områder, hvor der allerede er lagt fiber. Vejen frem er en erkendelse af, at den lokale digitale infrastruktur er et naturligt monopol ligesom el-nettet,” siger Mogens Ritsholm Og midlet til en bedre udvikling er strukturel adskillelse. I øvrigt også ligesom i elsektoren. Men nu er der bygget en kultur op om konkurrence, og liberalisering handler ikke kun om konkurrence, men også om samarbejde de steder, hvor markedskræfterne ikke finder vej. ”Der er det grundlæggende problem, at det ikke kan betale sig at lægge fiber i tyndt befolkede områder. Det bør løses. Jeg synes vi bør kigge over mod Sverige, som har fundet løsninger på det problem. Men hertil er vi ikke nået i Danmark – endnu,” siger Mogens Ritsholm. ■
”
I dag 18 år efter kan vi konstatere, at vi ikke har fundet det rigtige system. Det er ikke den rigtige konstruktion. Men et stort problem er, at ministeriet heller ikke har forstået, at man ikke har det rigtige system. Der peges ikke på nogen løsninger. Det hele ender med i Bredbåndsanalysen, at man ikke skal gøre noget, og det er forstemmende. Mogens Ritsholm, civilingeniør
2015
Kit@
KITA inviterer til Generalforsamling og Temadag den 5. og 6. marts på Hotel Koldingfjord Se det opdaterede program og tilmeld dig på www.itchefer.dk Bemærk at det kræver at du er logget ind. Har du ikke er bruger, eller ønsker hjælp til tilmeldingen, kan du tilmelde dig på mail@itchefer.dk eller kontakte sekretariatet på tlf. 31901155.
På vej mod d-land 2015 ”Offentlig digitalisering 2015 – på vej mod d-land” hedder konferencen, der sædvanen tro holdes i Århus Musikhus. Konferencen holdes den 24. og 25. marts. Datasikkerhed, digital sårbarhed og EU´s nye persondataforordning og sikkerhed på mobile enheder er emner på programmet. De digitale fundamenter og den digitale infrastruktur i kommuner, regioner og stat er også med. Henrik Brix, formand for Kit@ og kommunernes IT-Arkitekturråd taler om den fælleskommunale infrastruktur sammen med projektdirektør/CIO Peter Egelund, KOMBIT og chefkonsulent Bjarne Jørgensen, SKI. Det er 12. år i træk at konferencen bliver holdt. Dansk IT er hovedarrangør.
NordSec-undersøgelsen ligger på ny interaktiv platform NordSec-undersøgelsen er i starten af 2015 blevet udsendt til de svenske kommuner og regioner på en ny interaktiv platform. Den nye platform giver brugeren direkte adgang til at kunne tilgå besvarelser og få et overblik over det aktuelle it-sikkerhedsniveau. Siden lanceringen af den nye platform er deltagelsen fordoblet siden NordSec 2012, og 2/3 af alle svenske organisationer forventes at deltage. De danske kommuner vil i løbet af foråret få mulighed for at tilgå deres data og udfærdige lignende rapporter for deres egne data og besvare NordSec 2014, hvis de endnu ikke har gjort dette. Det er I-Trust, der står bag NordSec-undersøgelsen.
Kit Magasinet / 01 / 2015 Side 15
Sikkerhed
Af Stig Andersen
Megatrends udfordrer datasikkerheden i kommunerne Der er vokseværk på alle niveauer i kommunernes databrug. Datamængderne vokser, antallet af systemer, der kan eksponere data, bliver flere, og antallet af brugere, der skal håndtere data vokser også. Senest har vi været vidner til globale angreb med ”spredehagl” rettet mod it-systemer, som også har ramt danske kommuner. Det er generelle udviklingstrends, der udfordrer datasikkerheden i kommunerne. En bølge af angreb med ransomware har sammen med tilfælde af læk af CPR-numre i den senere tid skabt en betydelig medieinteresse for datasikkerheden i kommunerne. Jakob Illeborg Pagter, Lab Manager, Security, Alexandra Instituttet, peger dog på, at de it-sikkerhedsmæssige udfordringer, som både offentlige og private virksomheder i øjeblikket stilles over for, som sådan ikke er nye – det er primært et spørgsmål om volumen. ”Det er tale om nogle globale tendenser. Datamængderne vokser voldsomt, og antallet af systemer, der potentielt kan eksponere data, er vokset. Samtidig er der ikke de samme iboende tekniske hindringer for at kombinere og dele data på tværs af systemer som tidligere. Så med mindre man er meget præcis i sin adgangskontrol, kan brugere – med de bedste hensigter om at udføre deres arbejde så godt som muligt – komme til at omgås data på en uhensigtsmæssig måde,” forklarer han.
Side 16 Kit Magasinet / 01 / 2015
I kommunerne bliver der ud over de rent tekniske sikkerhedstiltag for tiden arbejdet meget fokuseret med brugernes awareness om sikkerhed. Politikker, konkrete retningslinjer og beredskabsplanerne får også en overhaling. ”Det er jo godt med øget fokus på it-sikkerheden, og der er gang i mange gode initiativer både rent teknisk og på brugersiden. På den lidt længere bane burde man dog arbejde for, at sikkerheden ikke i den grad skal hænge på brugernes awareness, men at man systemmæssigt kunne understøtte, at man sikkerhedsmæssigt kun kan komme til at gøre det, der giver mening i forhold til ens arbejdsopgave,” siger Jakob Illeborg Pagter. Kit Magasinet har talt med tre kommuner, Varde, Frederikshavn og Slagelse, der kan bekræfte, at der er fornyet fokus på it-sikkerheden. Læs hvordan de tackler udfordringerne og en række andre faglige artikler om datasikkerhed i temaet side 18-31.
w w w.pwc.dk /kontakt
Hacket? Ha cket?
Har du en plan for, hvad du gør, hv is din forretning bliver udsat for et hackerangreb i morgen? Truslen fra cyberk riminalitet er blevet en del af hverdagen, og P wC’s undersøgelse af cybersik kerhed v iser, at 70 % fr ygter ik ke at kunne besk y tte sig mod cyberk riminalitet. Derfor er det afgørende, at du har tænkt over, hvad du gør, hv is det en dag er dine data, der bliver hacket. Hos P wC’s Consulting er v i over 100 konsulenter og vores erfarne Securit y & Technolog yeksperter kan hjælpe dig med at sik re din forretning både før, under og ef ter et hackerangreb. Succes skaber v i sammen ...
002615
Kontakt vores part ner Mads Nørgaard Madsen E: mxm@pwc.dk T: 3945 3484 Revision. Skat. Rådgivning.
KRONIK
Fælles fodslag om datasikkerhed Vi politikere bliver ofte beskyldt for ikke at kunne blive enige om noget som helst og så i øvrigt kun beskæftige os med det kommende folketingsvalg. Tro det eller ej så bliver der faktisk arbejdet på tværs af partierne omkring vigtige emner, hvor fokus er på løsninger og ikke på polemik. I forbindelse med den meget omtalte Se og Hør-sag og afsløringerne om Danmarkshistoriens største hackerangreb mod CSC, hvor blandt andet 10.000 politimænds arbejdsmæssige mailkonti blev kompromitteret, valgte Folketingets Retsudvalg at nedsætte en tværpolitisk arbejdsgruppe, med deltagelse af alle Folketingets partier, til at se på udfordringer i forhold til datasikkerhed. Det er egentlig ikke en ny idé at nedsætte tværpolitiske arbejdsgrupper. Tilbage i 1970’erne var det rent faktisk ganske normalt at nedsætte særlige arbejdsgrupper, f.eks. til at udarbejde grundlaget for datidens folkeskolereform. Vi ser derfor store perspektiver i at bruge denne arbejdsform i forbindelse med reformer af områder, hvor der er tradition for at tilstræbe enighed mellem Folketingets partier. De seneste år har Danmark været ramt af en stribe hackerangreb og episoder, hvor personlige oplysninger pludseligt har ligget frit tilgængeligt på nettet. En stadig større del af vores liv foregår på nettet, herunder det meste af kontakten med det offentlige. Det betyder, at vi som samfund skal kunne have tillid til, at oplysningerne ikke falder i de forkerte hænder. Det er en fælles opgave uanset politisk tilhørsforhold. Derfor har vi i forbindelse med arbejdet i den tværpolitiske arbejdsgruppe i høj grad lænet os op ad en række eksperter, som i forbindelse med to høringer har givet deres bud på, hvad der skal gøres. Arbejdet har været kendetegnet ved, at det ikke har været et kapløb mellem de politiske partier om, hvem der hurtigst har kunnet komme på det mest vidtgående forslag til ære for medierne. Faktisk er arbejdet foregået i al stilhed langt fra pressens sædvanlige søgelys og jagt på konflikt og hurtige udmeldinger. Og det har ikke skadet hverken samarbejdet, inddragelse af civilsamfundet eller resultatet, som vi offentliggør i dag. Overordnet national strategi for databeskyttelse Arbejdsgruppen var på baggrund af vores fælles drøftelser enig om en lang række konkrete ting. Først og fremmest er det centralt, at vi får en overordnet national strategi for databeskyttelse, der hviler på en række principper, som bør være grundlæggende for it - og dataarbejdet. En form for opdatering af principperne i den 15 år gamle persondatalov. De principper, vi betragter som de vigtigste, er følgende: • Såvel offentlige myndigheder som private virksomheder, der behandler følsomme personoplysninger, bør være sig sit særlige ansvar bevidst. Jo mere følsomme oplysninger, desto større krav på sikkerhed og beskyttelse bør borgeren have. • Den dataansvarlige bør altid have ansvaret for sikkerheden omkring de følsomme personoplysninger, også når data be-
Side 18 Kit Magasinet / 01 / 2015
handles af en tredjepart. Den dataansvarlige bør altid have ansvaret for, at der stilles tilstrækkelige krav til databehandler ved behandling af følsomme personoplysninger. • Myndigheder, der fører tilsyn med datasikkerhed, bør være stærke og uafhængige. Tilsynsmyndighederne bør have tilstrækkelige ressourcer og kompetencer samt prioritere kontrolbesøg. • Borgere bør kunne få oplyst hvilke data, der er registreret om dem, hvorfor data registreres, hvem der har adgang til disse data, hvem der har anvendt adgangen, og hvad data bliver brugt til. Dette bør til enhver tid være gældende, medmindre stærke hensyn taler imod. • Borgere bør til enhver tid have mulighed for at klage, hvis borgeren mistænker en myndighed eller virksomhed for uretmæssigt at opbevare data. • Medarbejdere hos såvel offentlige myndigheder som private virksomheder bør udelukkende have adgang til de følsomme personoplysninger, som er nødvendige for udførelsen af deres arbejde, og det bør sikres, at der løbende føres kontrol hermed. Der bør generelt gælde et ”need to know”-princip i forhold til adgang til følsomme personoplysninger.
”
Vi får en overordnet national strategi for databeskyttelse, der hviler på en række principper, som bør være grundlæggende for it - og dataarbejdet.
Databeskyttelsen halter bagud Derudover har vi måttet konstatere, at databeskyttelsen halter gevaldigt bagud. Der har været for meget fokus været på funktionalitet frem for sikkerhed. I april 2013 lagde et hackerangreb Nem-ID ned i et døgn. Det viste sig, at det var et bestilt angreb, der var købt på en hjemmeside for 10 dollars. Hvad der svarer til 60 danske kroner var prisen for at forstyrre et redskab, vi alle bruger i dagligdagen. Konklusionen er derfor krystalklar: Det offentlige skal have langt mere styr på sikkerheden, også selvom det er en kæmpe udfordring.
Kronikken er skrevet af otte it- eller retsordførere, som er medlemmer af Folketingets arbejdsgruppe om datasikkerhed. Karsten Lauritzen (V), Trine Bramsen (S), Dennis Flydtkjær (DF), Jeppe Mikkelsen, (RV) Pernille Skipper (EL), Karina Lorentzen (SF), Tom Behnke (K) og Simon Emil Ammitzbøll (LA).
Vil styrke Datatilsynet En af de løsninger, vi peger på, er at styrke Datatilsynet, ikke blot ved flere ressourcer, men også ved at øge dets uafhængighed og virkemåde. I dag er tilsynet placeret under Justitsministeriet, men vi ønsker undersøgt, om tilsynet kan flyttes til Folketinget. Altså en model som på mange måder kan sammenlignes med ombudsmandsinstitutionen. Se og Hør-sagen var spektakulær, men i omfang væsentligt mindre end de mange sager om lækager af store mængder personnumre. Der findes sanktionsmidler over for private, der bryder reglerne for databeskyttelse, men når offentlige myndigheder bryder reglerne, er der ingen sanktionsmidler. Det bør der ændres på, således at offentlige og private ligestilles i den henseende. Offentlige myndigheder skal ikke være straffrie, når de har en uansvarlig omgang med personfølsomme oplysninger. Vil samle datasikkerheden hos én minister I dag er det uklart hvilken minister, der har ansvaret for datasikkerhed i Danmark, idet området er spredt udover en række ministerier. Noget Rigsrevisionen påpeger som værende en udfordring for effektiv databeskyttelse. Statsministeren bør som ansvarlig for regeringens ressortfordeling overveje at samle datasikkerhedsområdet hos én ansvarlig minister. Blandt andet for at sikre den nødvendige koordinering, men også for at området har politisk fokus og ikke blot får lov til konstant at falde mellem to stole med det resultat, at danskernes data er ubeskyttet. Vi er langt fra færdige med at styrke datasikkerheden, vi er faktisk kun lige begyndt, men vores arbejde på tværs af Folketingets partier betyder, at Folketinget nu i samarbejde med regeringen, som også deler ønsket om øget sikkerhed og databeskyttelse, kan træffe de nødvendige beslutninger på et kvalificeret grundlag. Samtidig har arbejdsformen resulteret i, at det grundlag, vi træffer beslutninger på, er demokratisk forankret hos folkevalgte og ikke udelukkende et resultat af embedsværkets ønsker. ■
Spot på datasikkerhed fra mange sider Folketingets tværpolitiske arbejdsgruppe om datasikkerhed er kun ét af mange initiativer, der er i gang om datasikkerhed. Der er for alvor sat spot på datasikkerheden. Regeringen barslede med en rapport før jul om statens datasikkerhed. Rigsrevisionen har skrevet en »Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder« og gennemgået otte statsinstitutioners datasikkerhed. Digitaliseringsstyrelsen (Finansministeriet red.) og Center for Cybersikkerhed (Forsvarsministeriet red.) »Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift«. Begge dele understreger behovet for en generel højnelse af datasikkerheden. Også den kommende EU-forordning om databeskyttelse af personlige oplysninger har sat fokus på datasikkerhed. Endelig er KL i gang med et internt udredningsarbejde, der skal afklare kommunernes rolle inden for datasikkerhed. www.fmn.dk/nyheder/Documents/National-strategifor-cyber-og-informationssikkerhed.pdf
Kit Magasinet / 01 / 2015 Side 19
Sikkerhed
Af Flemming Kjærsdam
Digitaliseringen lægger større pres på Datatilsynet Digitaliseringen af de offentlige serviceydelser lægger større pres på Datatilsynet, idet kravene til tilsynet vokser. Kontorchef Lena Andersen, Datatilsynet, tager derfor godt imod beretningen om databeskyttelse fra Folketingets tværpolitiske arbejdsgruppe, som anbefaler, at Datatilsynet skal styrkes.
Den 27. januar 2015 udkom den tværpolitiske beretning om databeskyttelse fra Folketinget. Beretningen er den første samlede beretning om datasikkerhed i Danmark, og den lægger op et til et stærkere og mere uafhængigt Datatilsyn. ”Jeg synes beretningen har mange gode elementer og giver et godt og konstruktivt grundlag for at arbejde med at sikre databeskyttelsen for danskerne. Jeg er også helt enig i, at myndigheder, som fører tilsyn med databeskyttelsen, skal være stærke og uafhængige. Det er væsentligt, fordi respekten for privatlivets fred og beskyttelse af personlige data er grundlæggende rettigheder, som vi skal stå vagt om. I disse tider mere end nogensinde. Det er også vigtigt for at kunne bevare tilliden hos borgerne, der bliver pålagt at bruge flere og flere digitale services,” siger Lena Andersen. Stor stigning i antal sager Dermed bliver persondataloven og beskyttelsen af data væsentlige brikker i digitaliseringen, som breder sig kraftigt i disse år. Det lægger et større pres på Datatilsynet. Kigger man på antallet af nyoprettede sager havde tilsynet i 2009 omkring 4.800 sager. Antallet steg i 2013 til omkring 6.100, svarende til 27 pct. Særligt forespørgsler og klager fra det offentlige og private virksomheder er vokset kraftigt. Datatilsynet har gennem de seneste fem år fået flere sager om følsomme persondata. Alligevel er Datatilsynet lige nu skåret ned
Side 20 Kit Magasinet / 01 / 2015
og har 800.000 kr. mindre at gøre godt med i 2015 end året før. Derfor er beretningen fra Folketingets tværpolitiske arbejdsgruppe opmuntrende læsning for Lena Andersen, da samtlige partier er enige om, at Datatilsynet skal tilføres flere ressourcer. ”Hvis Datatilsynet får flere ressourcer, kan man også få mere tilsyn. Men vi skal ikke bilde os ind, at der aldrig kommer hackerangreb eller sikkerhedsbrister, hvis Datatilsynet bliver større. Men får vi flere muskler, vil vi også kunne gøre mere nytte. Et af de områder, hvor vi kan skrue op, er vores generelle informationsindsats. Men samtidig skal det siges, at der er grænser for, hvor tæt vi kan gå ind i rådgivning af en kommune. Vi kan ikke det ene øjeblik bistå med rådgivning a la en advokat eller konsulent, og så det næste øjeblik kigge kommunen efter i sømmene som den uafhængige tilsynsmyndighed vi er. Så vi vil gerne give mere information og generel vejledning, vi vil gerne føre mere tilsyn, men ved egentlig rådgivning, vil der være en grænse for, hvor tæt vi kan involvere os. De sidste meter må kommunerne selv løbe,” siger Lena Andersen. Lena Andersen fremhæver, at tilsynets inspektioner både handler om dialog og kontrol. ”Det er nyttigt, at Datatilsynet kommer ud og får en dialog med myndighederne. Og hvis vi finder væsentlige brud på loven, så skal vi offentliggøre det, så andre også kan lære af det.” Nogle af de fejl, der ses, handler om løsningernes indretning. Brug af logins, der ikke er stærke nok. Men det er ikke kun de
”
Når der sker brud på databeskyttelsen, og data lander et forkert sted, så skyldes det ikke altid avancerede hackere, men nok så ofte sjusk eller manglende viden hos den enkelte medarbejder. Lena Andersen, Datatilsynet
tekniske foranstaltninger, der giver problemer. I tilsynet hører man ofte om sikkerhedsbrud, der er sket som følge af menneskelige fejl. ”Kommunerne skal huske, at der skal være instruktion og kontrol af egne medarbejdere og eksterne databehandlere. Når der sker brud på databeskyttelsen, og data lander et forkert sted, så skyldes det ikke altid avancerede hackere, men nok så ofte sjusk eller manglende viden hos den enkelte medarbejder. Det er ikke nok at have sikre digitale løsninger, hvis medarbejderne bruger dem forkert eller slet ikke bruger dem. Der er brug for information og uddannelse. Jeg vil skynde mig at sige, at jeg ofte har set det gjort godt, og er blevet imponeret over, det der gøres derude. Men selv om der er mange, der gør det godt, viser erfaringerne, at der er behov for at gøre en indsats.” ”Det er myndigheden, der har ansvaret for oplysningerne om borgerne. En kommune kan godt udlicitere driften, men ikke ansvaret for datasikkerheden. Det er kommunens ansvar, at oplysningerne håndteres sikkert. Så den er nødt til at have indsigt i hvad det foregår. De tilfælde, hvor vi finder ud af, at sikkerheden ikke har været god nok, vil vi fortsat offentliggøre,” siger Lena Andersen. Finde en ny placering En af de løsninger, Folketingets rets- og it ordførere peger på i beretningen, er at styrke Datatilsynet. Ikke kun med flere ressourcer, men også ved at øge Datatilsynets uafhængighed og virkemåde. I dag er tilsynet placeret under Justitsministeriet, men Folketingets arbejdsgruppe ønsker at få undersøgt, om Datatilsynet kan flyttes til Folketinget. ”Uanset om vi ligger det ene eller det andet sted, mener jeg Datatilsynets fokus må være at løse de opgaver, som vi er sat til at løse. Og det skal vi gøre så godt og effektivt som muligt. Jeg kan ikke helt forudse, hvordan vi vil blive ændret, hvis vi bliver flyttet. Vi har jo kun prøvet at ligge et sted. Men jeg er frisk på at prøve noget nyt, hvis det ender med det.” siger Lena Andersen.
delse af persondataloven skal sættes i vejret og ikke kun som i dag gælde private virksomheder, men også omfatte offentlige myndigheder. Lena Andersen understreger, at Datatilsynet ikke kan udstede bøder. Datatilsynet kan kun politianmelde for overtrædelser, og så er det op til politi, anklagemyndighed og domstole at behandle sagen derfra. Datatilsynet kommer typisk med et forslag til et bødeniveau, men det er ikke tilsynet, der fastsætter bøden. ”Det er jo ikke sådan, at Datatilsynet bare politianmelder revl og krat, når der sker overtrædelse af persondataloven i den private sektor. Hvis der er sket en menneskelig fejl, som den dataansvarlige selv beklager, og gør hvad de kan for at rette op på og undgå gentager sig, så vil vi typisk ikke politianmelde i førstegangstilfælde. Men er det en bevidst overtrædelse, eller retter man ikke op på det, når vi gør opmærksom på, at der er et problem, så kan der ryge en politianmeldelse afsted.” ”I 2014 gik den største bøde for brud på persondataloven til en varehuskæde. De havde solgt en elektronisk enhed, der havde været solgt før, men var kommet retur som defekt. Da den nye kunde har købt den, får han adgang til den tidligere ejers private informationer. Og det var ikke første gang det skete for den varehuskæde. Det var tredje gang. Så vi argumenterede for en mærkbar højnelse af strafniveauet, blandt andet med henvisning til, at det ikke skal kunne betale sig at spare på sikkerheden. Der blev givet en bøde på 15.000 kr., og det er da mere, end vi ser i førstegangs tilfælde. Men man kunne nok have ønsket sig mere” siger Lena Andersen. Med hensyn til bøder til offentlige myndigheder svarer Lena Andersen, at ”vi kender til, at der i andre lande er straf til både private virksomheder og offentlige myndigheder, og det er bestemt noget, som er værd at overveje.” ■
Bøder I beretningen om databeskyttelsen fra Folketingets tværpolitiske arbejdsgruppe anbefales det, at bøderne, som gives for overtræ-
Kit Magasinet / 01 / 2015 Side 21
Sikkerhed
Af Flemming Kjærsdam
Udfordringerne ligger inden for awareness og governance Danmark har efter årsskiftet været mål for et større angreb med ransomware, og Varde Kommune blev sammen med en række andre kommuner også ramt. Hændelsen viser, at de sikkerhedsmæssige udfordringer primært ligger inden for awareness, men også på governance-fronten er der noget at hente.
Som flere andre kommuner oplever Varde Kommune i øjeblikket en bølge af angreb med ransomwareb, hvor diske og filer bliver udsat for en fjendtlig kryptering, og bagmændene kræver en løsesum for at frigive filerne. I januar 2015 åbnede en bruger en zip-fil i en mail og åbnede derefter en zip-fil fra vedhæftningen. Med det samme blev den lokale disk og et gruppedrev krypteret, skærmbaggrundsfarven skiftede, og der dukkede en tekst op med instruktioner om, hvordan kommunen igen kunne få adgang til de krypterede filer. Beredskabet var på plads: Den ramte computer blev hurtigt isoleret, der blev lagt et nyt image på, og der blev foretaget en scanning af netværket for at se, om der var sluppet andre mails igennem med samme vedhæftning. Der blev ikke udbetalt nogen løsesum, og samlet set kom det til at koste et par timers arbejde. "Den primære udfordring rent sikkerhedsmæssigt ligger lige netop i, at en bruger uforvarende kommer til at åbne en fil i en mail, der er sluppet igennem det tekniske værn, vi har sat op," siger IT-chef Lars Peter Mosgaard, Varde Kommune. Risiko for "ulven kommer" Der er fokus på bruger awareness over for potentielle sikkerhedsrisici, og der bliver løbende sendt information ud i organisatio-
Side 22 Kit Magasinet / 01 / 2015
nen, f. eks. om hvordan man skal forholde sig til mistænkelige mails. "Vi gør meget ud af at informere medarbejderne om retningslinjerne for it-sikkerhed, men det er bare ikke det hotteste emne og er meget forståeligt nok ikke det første, medarbejderne tænker på, når de skal udføre deres arbejde. Man skal også passe på, at man ikke over-informerer, så der går "ulven kommer" i det. Der ligger klart en udfordring i at finde den rigtige balance," siger Lars Peter Mosgaard. Ekstern mailscanning og penetreringstests Rent teknisk ligger Varde Kommune ifølge Lars Peter Mosgaard ganske fornuftigt til, når det drejer sig om sikre, at systemer og platforme ikke bliver ramt via netværket. Der bliver løbende investeret i netværkssikkerhed, og man har hyret et eksternt firma til løbende at udføre penetreringstests. Der er også et eksternt firma på opgaven med at scanne alle indkommende mails, som erfaringsmæssigt udgør den største trussel mod sikkerheden. Indtil videre har man ikke været ramt af DDoS-angreb, eksempelvis via skolenetværket, som det har været tilfældet i nogle kommuner.
Rollebaseret indentitetsstyring Omgangen med følsomme personoplysninger er et andet fokusområde. En rollebaseret identitetsstyring inklusive manuel tildeling af rettigheder, når en bruger skal have adgang til følsomme data, er centrale elementer i den strategi, som skal gøre borgerne trygge ved at lade kommunen håndtere deres data. Derudover er der udstukket konkrete retningslinjer, som for eksempel at personfølsomme data skal gemmes i kommunens ESDH-systemer og ikke må gemmes på den lokale maskine, netværksdrev, Dropbox, USB-nøgler mv. Derudover undervises der løbende i brugen af sikker post herunder også i hvad, der skal sendes via Digital Post, og hvad der kan sendes som ”usikker” post. "Nogle af medarbejderne har jo flere kasketter på og har brug for at tilgå data bredt for at kunne yde en god service til borgerne. Det er mit helt klare indtryk, at de er meget bevidste om kun at søge på de informationer, som er relevante i forhold til at kunne udføre deres arbejde bedst muligt," siger Lars Peter Mosgaard.
”
Den primære udfordring rent sikkerhedsmæssigt ligger lige netop i, at en bruger uforvarende kommer til at åbne en fil i en mail, der er sluppet igennem det tekniske værn, vi har sat op. Lars Peter Mosgaard, Varde Kommune.
Governance skal forbedres Når det kommer til governance inden for kommunens it-sikkerhed er der ifølge Lars Peter Mosgaard plads til forbedringer, så det er et område, hvor man planlægger at opruste. "Governance og ikke mindst forankringen af ansvaret for it-sikkerheden, er ikke et område hvor vi er "over-implementeret". Så det er planen at få et eksternt kig på vores organisation omkring sikkerheden og så efterfølgende indføre en større grad af formalisering, end det er tilfældet i dag," siger han. ■
Åbning nu for at skærpe sikkerheden It-sikkerhed kan være en svært salgbar vare i organisationen, men ifølge Mogens Kahr Nielsen, centerchef for IT, Digitalisering og Velfærdsteknologi i Frederikshavns Kommune er der nu en åbning for teknisk at opjustere sikkerheden og øge awareness. Medieomtalen af den store bølge af angreb med ransomware, der har ramt Danmark – og dermed også en række kommuner – og Databeskyttelsesforordningen, der i øjeblikket bliver forhandlet i EU, har i den grad sat it-sikkerheden på dagsordenen. "It-sikkerhed er per definition en svær vare at afsætte i en organisation, men den nuværende interesse fra mange sider skaber en åbning på alle niveauer i organisationen til virkelig at investere både på det tekniske område og i øget awareness," siger Mogens Kahr Nielsen, centerchef for IT, Digitalisering og Velfærdsteknologi i Frederikshavns Kommune.
”
Den nuværende interesse fra mange sider skaber en åbning på alle niveauer i organisationen til virkelig at investere både på det tekniske område og i øget awareness. Mogens Kahr Nielsen , Frederikshavn
Konsekvensløst at lække CPR-numre Frederikshavns Kommune har ikke været ramt af større hændelser, hvor eksempelvis CPR-numre ved en fejl er blevet lagt på nettet. "Vi har kun en enkelt gang været ude for, at et CPR-nummer er sluppet ud på nettet. Lige nu er det jo faktisk uden konsekvenser for en kommune, hvis det sker. Hvis det ender med, at det vil udløse store bøder, vil der givetvis blive brugt mere energi og flere ressourcer på at forhindre det," siger Mogens Kahr Nielsen. Løbende tekniske forbedringer Frederikshavns Kommune adskiller sig på mange måder ikke fra andre kommuner med hensyn til det tekniske sikkerheds-setup. Der bliver løbende investeret i forbedret netværkssikkerhed. Der er implementeret forscanning af indkommende mails, et Identity Management system sørger for differentieret og rollebaseret brugerrettighedsstyring, og der er med jævne mellemrum eksternt tjek af setuppet for sikkerhed. Men der kan altid gøres mere. "Det er en balance mellem det optimale sikkerhedsniveau og de midler, der er afsat til formålet. Vi er godt med, men impleKit Magasinet / 01 / 2015 Side 23
menterer løbende forbedringer. Således er det planen helt generelt af gå fra en-faktor til to-faktor sikkerhed, og vi vil også implementere Web Reputation filtre, så vi er bedre rustet mod phishing mails, som vi ser en del af," fortæller Mogens Kahr Nielsen. Awareness er hovedfokus Hovedfokusområdet er ifølge Mogens Kahr Nielsen dog awareness hos brugerne, primært i forhold til indkommende mails. Han har netop fremlagt et oplæg til kommissorium til at øge brugernes awareness. Som det er tilfældet i mange kommuner anvender man også i Frederikshavn aktuelle hændelser til at informere om sikkerhedsrisici – f. eks. angrebene med ransomware, og helt konkret snakker man med Viborg Kommune om deres erfaringer med online-video til information om sikkerhed. "Beslutningen er ikke landet endnu, men formentlig vil vi gøre noget mere radikalt i år, dels for at få ajourført vores politikker og regler, dels for generelt at øge awareness på området," siger Mogens Kahr Nielsen.
"Persondataloven har af historiske grunde en database-tilgang og ikke en bruger-tilgang. Så det kan være en udfordring at overholde reglerne for logning af hændelser på brugere, der skal anvende flere systemer. Hvis det kræver, at de skal foretage separat login i hvert enkelt system, er det en barriere for det daglige arbejde," siger Mogens Kahr Nielsen. Det findes tekniske løsninger på området, og i Frederikshavn har man med succes været pilottestere på KMD's single sign-on løsning til deres systemer. Sikkerhedsorganisationen til diskussion De foreslåede stramninger i Databeskyttelsesforordningen fra EU er også et tema i Frederikshavn Kommune. Men det kan være vanskeligt at gennemskue, hvad forordningen i givet fald helt konkret vil betyde for sikkerhedssetuppet, for eksempel i forhold til governance. "Vi har jo allerede en organisation på plads med en formaliseret ansvarsfordeling. Men i lyset af Databeskyttelsesforordningen bliver vi givetvis nødt til at diskutere, om vi eventuelt skal organisere os på en anden måde," siger Mogens Kahr Nielsen.
Single sign-on til KMD-systemerne Persondataloven bliver ofte beskyldt for at være ude af trit med den teknologiske udvikling og uklar i forhold til virkeligheden i kommunerne i dag. Det er en problemstilling, man genkender i Frederikshavn.
■
Sikkerheden skal ind i forretningsudviklingen Slagelse kommune fik ny it-sikkerhedspolitik i 2014. Stabschef CIO Ole Ritter peger på vigtigheden af at den blev udarbejdet i samarbejde med resten af organisationen, og at sikkerhed bliver en integreret del af forretningsudviklingen.
Side 24 Kit Magasinet / 01 / 2015
”
I Slagelse Kommune kører man løbende kurser om it-sikkerhed, og som ny medarbejder "tvinges" man systemmæssigt til at læse udvalgte afsnit i sikkerhedspolitikken, før man overhovedet kan logge sig på systemerne Claus Ritter, Slagelse Kommune
Truslerne mod kommunernes it-sikkerhed er ifølge Stabschef CIO i Slagelse Kommune Claus Ritter mange – både på kort og langt sigt. "Der er nogle helt generelle tendenser, som også betyder noget for trusselsbilledet i kommunerne. Den generelle digitalisering af samfundet er accelereret, mængden af data øges dramatisk, antallet af enheder per person øges, vi bruger et stadig stigende antal mobile enheder, og grænsen mellem privat og arbejdsmæssig anvendelse af teknologien udviskes," siger han. I kommunerne betyder det, at der i forhold til tidligere er mange flere medarbejdere og flere forskellige personalegrupper, der skal anvende it-redskaber for at udføre deres arbejde. Og det stiller nye og store krav til awareness i organisationen. Claus Ritter peger også på, at flere mobile enheder samt udbredelse af BYOD også kræver en oprustning på sikkerhedsfronten, og på den lidt længere bane venter nye udfordringer: "På et tidspunkt vil ”Internet of Things”, hvor alt er forbundet, og sensorteknologi for alvor vil blive anvendt i velfærdsteknologien, kaste endnu større mængder data af sig, som vi skal håndtere på en måde, så borgerne fortsat kan føle sig trygge ved, at vi opbevarer deres data." Det lange seje træk Slagelse Kommune udarbejdede en ny it-sikkerhedspolitik i 2014, hvor den helt overordnede målsætning er, at sikkerhedsniveauet skal være tilstrækkelig højt til at man sikre, at it-systemerne er kørende, og at data bliver anvendt i de rette sammenhænge. Det skal ske samtidig med, at sikkerheden ikke må blive en barriere for den fortsatte forretningsmæssige udvikling af kommunen. "Det var helt afgørende, at processen med at udarbejde sikkerhedspolitikken foregik i tæt samarbejde med hele koncernen, og at it-sikkerheden fremadrettet bliver en integreret del af forretningsudviklingen og ikke en løsrevet disciplin uden forankring i forretningen og de øverste ledelseslag," siger Claus Ritter, og fortsætter: "Man opnår dog ikke tilstrækkelige it-sikkerhed bare ved at udarbejde en ny sikkerheds politik og nye procedurer. Det sker først gennem det lange seje træk, hvor sikkerheden bliver en del af vores centres egne faglige og forretningsmæssige udvikling." Ny sikkerhedsportal Den nye sikkerhedspolitik har kastet tolv konkrete it-sikkerhedsregler af sig, og så har man lavet en detaljeret risikovurdering af
alle forretningskritiske systemer. Den nye politik omfatter også en 360 graders it-beredskabsplan, som er blevet synkroniseret med kommunens overordnede beredskabsplan. I planen ligger, at der en gang årligt skal laves en ekstern sikkerhedsanalyse af udefrakommende trusler, og at konklusionerne fra analysen følges op med en handleplan. På det mere konkrete plan har man implementeret en portal dedikeret til it-sikkerhed. "På vores nye sikkerhedsportal kan kommunens it-ansvarlige kommunikere om nye risici og nødvendige kontrolforanstaltninger. Derudover kan portalen benyttes til at pushe informationer om sikkerhed ud til relevante personalegrupper og superbruger, eksempelvis når vi indfører nye systemer og processer, hvor det er vigtigt at have opmærksomhed på det sikkerhedsmæssige aspekt," forklarer Claus Ritter. Awareness hele vejen rundt Netop awareness om it-sikkerhed hele vejen rundt i organisationen er ekstremt vigtig, ifølge Claus Ritter. Den nye sikkerhedspolitik er første skridt på vejen, men den skal udmøntes i konkrete tiltag i hverdagen. I Slagelse Kommune vil der løbende blive arrangeret kurser om it-sikkerhed, og som ny medarbejder "tvinges" man systemmæssigt til at læse udvalgte afsnit i sikkerhedspolitikken, før man overhovedet kan logge sig på systemerne. Samtidig har man på nogle meget konkrete områder givet brugerne nem mulighed for at handle, når der eksempelvis er sluppet spam-mails gennem filtrene. "Vi har implementeret en spamknap i Outlook, så når brugerne ser en mistænkelig mail, stiller de sig bare på den, trykker på knappen, og så får vores spam-admin den til videre behandling," fortæller Claus Ritter. Persondataforordningen et tilbageskridt Claus Ritter er mildt sagt ikke begejstret for EU's Persondataforordning, som den ser ud lige nu. "Forordningen er et klart tilbageskridt, da den vil lægge nogle unødige bureaukratiske hindringer i vejen for at vi kan fortsætte arbejdet med at levere en endnu bedre service til borgerne gennem øget digitalisering. Vores borgere er jo generelt meget parate til det her i Danmark, og det vil være synd, hvis vi lander på en fællesnævner i EU, der bremser den udvikling." ■
Kit Magasinet / 01 / 2015 Side 25
Sikkerhed
Af Flemming Kjærsdam
Datasikkerheden højere op på den politiske dagsorden Datasikkerhed er for alvor ved at komme til tops som emne på den kommunalpolitiske dagsorden. I årevis har politikere, topledelser og personaleledere i kommunerne overladt ansvaret for datasikkerheden til it-cheferne. Nu peger det mere og mere i retning af, at hele organisationen skal påtage sig et ansvar for datasikkerheden og at det bliver en del af den nye digitaliseringsstrategi frem mod 2020. Datasikkerheden kommer højere op på den politiske dagsorden og skal prioriteres langt højere. Den helt store opgave for landets kommuner bliver med et moderne begreb ”awareness”. ”Ansatte i kommuner skal kende de helt basale trafikregler, der skal overholdes, når de bruger it i dagligdagen. Sådan er det ikke altid i dag. Ikke alle ledere ved ikke nok om datasikkerhed, og de prioriterer det ikke tilstrækkeligt, og det samme gælder for mange af medarbejderne. Derfor skal informationsopgaven overfor medarbejdere og brugere styrkes, for at øge bevågenheden omkring datasikkerhed i hverdagen, eventuelt gennem fælles kampagner og info-materiale,” siger konsulent Michael Hald, KL. Kedelig baggrund Denne øgede opmærksomhed på datasikkerhed i private og offentlige virksomheder sker desværre på en kedelig baggrund. I foråret 2014 kom det frem, at en ekstern it-supporter fra IBM, der havde adgang til kreditkortoplysninger hos Nets, havde solgt oplysninger om private kendissers brug af hævekort videre til Ugebladet Se og Hør. I maj måned 2014 blev der fundet tusindevis af CPR-numre frit tilgængelige på en række kommunale hjemmesider. I efteråret 2014 har der kørt en månedlang retssag mod den svenske hacker, der stod bag angrebet mod Politiets kørekortregister.
Side 26 Kit Magasinet / 01 / 2015
I januar 2015 blev Gribskov og Nordfyns kommuner tilfældige ofre for ransomware, hvor filer på kommunens servere blev krypteret. Alle disse tilfælde – store som små - har været øjenåbnere. Ingen kan længere ignorere datasikkerheden eller overlade den til it-afdelingen. Dét, it-cheferne i kommuner og regioner har givet udtryk for i en årrække og forsøgt at få løftet op i organisationerne, er nu blevet et varmt politisk emne. ”Det er helt klart, at de mange sager, har ført til øget opmærksomhed. Der er meget stor interesse for datasikkerhed fra alle sider. Fra politikere og kommunale topledelser, fordi risikoen vokser på alle platforme. Alle virksomheder, herunder også kommunerne, er under konstant angreb fra nettet. Og lige som private virksomheder, har kommuner, regioner og staten i de seneste år digitaliseret store dele af forretningen og dermed investeret ganske mange penge i digitaliseringen. For at beskytte disse investeringer, og vigtigst, at beskytte de data vi behandler om borgere og virksomheder, så er vi også nødt til at løfte it-sikkerheden generelt så det svarer til trusselsbilledet,” siger konsulent Michael Hald, KL. ”Når borgere og virksomheder får at vide at de skal bruge de digitale selvbetjeningsløsninger, så skal de også kunne være trygge ved at bruge dem. De skal have tillid til, at løsningerne virker. Ellers kan vi jo ikke forlange, at de skal bruge dem. Så det er
hele tilliden mellem det offentlige og borgerne, der er på spil. På den måde befinder det offentlige sig i samme situation som banker og private virksomheder gør. Datasikkerhed er et problem, der berører alle aktører i en digital verden,” siger Michael Hald. Ny fællesoffentlig digitaliseringsstrategi I forbindelse med forhandlingerne om Økonomiaftalen for 2015 aftalte stat og kommuner at løfte it-sikkerheden generelt for at beskytte investeringerne i digital selvbetjening. Den fællesoffentlige digitaliseringsstrategi fra 2011 udløber i år. Der skal vedtages en ny fællesoffentlig digitaliseringsstrategi gældende fra 2016 og frem til 2020. Der bliver nu nedsat en række fora hvor regelsæt, procedurer og et fælles niveau for datasikkerheden, indgår som et væsentligt punkt. ”Generelt forventer kommunerne, at de centrale løsninger, der stilles til rådighed som digital selvbetjening også er sikre. Det vil sige de er udviklet og bliver drevet i overensstemmelse med det forventede sikkerhedsniveau. Det drejer sig om de fællesoffentlige såvel som de fælleskommunale centrale løsninger,” siger Michael Hald. KL har sat et internt arbejde i gang i samarbejde med otte-10 kommuner om, hvilke områder der skal prioriteres i kommunerne. ”Kommunerne er nødt til at gøre noget selv. De fleste it-chefer ved godt, hvad der kan gøres bedre. Der efterspørges et fællesoffentligt sikkerhedsniveau, dels for at sikre et vist ”bundniveau”, dels for at aflaste kontrolopgaven i forhold til sikkerhed ved dataudveksling mellem offentlige parter,” siger Michael Hald. Et andet væsentligt punkt inden for awareness er databehandleraftaler. At følge op på kommunens underleverandører. en kommune udveksler hver dag et meget stort antal data med eksterne virksomheder, andre kommuner, it-leverandører, institutioner og
”
For at beskytte disse investeringer, og vigtigst, at beskytte de data vi behandler om borgere og virksomheder, er vi også nødt til at løfte it-sikkerheden generelt, så det svarer til trusselsbilledet. Michael Hald, KL.
organisationer. Men udtalelser fra Datatilsynet viser, at ikke alle kommuner kontrollerer disse underleverandørers datasikkerhed. Digitale ydelser er en hel forsyningskæde af data, og det er ikke nok at have datasikkerheden i orden i egne rækker. I virkeligheden bliver man nødt til at sikre sig, at underleverandørernes datasikkerhed også er i orden. Datatilsynet KL gennemførte to workshops i efteråret, og her ønskede kommunerne, at Datatilsynet ud over den kontrollerende rolle også får en vejledende. ”Ifølge kommunerne bærer lovgivningen præg af at være uklar i forhold til den teknologiske udvikling. Kommunerne er ofte i tvivl om, hvordan reglerne skal fortolkes, og det er vanskeligt at få rådgivning eller svar fra Datatilsynet. Der efterspørges vejledninger og anbefalinger vedrørende sikkerhedsniveau og fortolkninger fra Datatilsynet,” siger Michael Hald. Om det så er hensigtsmæssigt i en større sammenhæng, at en kontrolmyndighed også skal være rådgivende, må overvejes. Men kommunerne oplever at de ofte står med konkrete spørgsmål, de ikke kan få et klart svar på. ■
Monopolet er brudt Vi kan se frem til konkurrence i det kommunale it-marked og nye tidsvarende it-systemer, som er indkøbt på kommunernes præmisser.
Læs mere på www.kombit.dk
Sikkerhed
Af Flemming Kjærsdam
KMD’s cybercenter overvåger data fra hele kloden KMD Security Analytics Centre har fået fem større kunder inden for datasikkerhed, hvor de overvåger og analyserer datatrafikken på kundernes infrastruktur. Siden sommeren 2014 har den nye forretningsenhed solgt sikkerhed ud af huset til eksterne kunder. Der er ifølge Koncernsikkerhedschef Rasmus Theede, KMD, run på centrets ydelser.
Da KMD for snart to år siden startede enheden KMD Security Analytics Centre skete det for at forbedre virksomhedens interne sikkerhed. Selvom KMD altid har haft høj troværdighed omkring beskyttelse af persondata og databehandling i al almindelighed, rykkede det globale trusselsbillede med hackerangreb, DDos og ransomware dette op med rode. Og KMD begyndte at opgradere deres egen sikkerhed som et modtræk over for dette hurtigt voksende trusselsbillede. Siden begyndte KMD’s kunder, da de hørte om cybercentret at spørge ind til, om de kunne købe serviceydelser inden for datasikkerhed sammen med andre it-ydelser. Det er nu baggrunden
Side 28 Kit Magasinet / 01 / 2015
for, at KMD siden sommeren 2014, hvor virksomheden begyndte at sælge dataovervågning og data-analyse ud af huset, at der nu er fem større danske kunder - private og kommuner – der får overvåget deres digitale infrastruktur og data af KMD. ”Som samfund er vi reelt altid bagud i forhold til de kriminelle. Der kommer angreb hele tiden, og sådan har det været længe. Det er bare blevet mere massivt. Vi får flere og flere data, og data bliver gjort tilgængelige online. Jo mere data, der lægges online, desto større er risikoen ved et angreb. Der er mange gode ting ved digitaliseringen i det offentlige, men bagsiden af medaljen er flere angreb. Derfor er der også flere angreb som slipper igen-
nem, og så handler det som virksomhed om at reagere rigtigt i den situation,” siger koncernsikkerhedschef Rasmus Theede, KMD. Massive datamængder Trusselsbilledet er reelt en rygende pistol for alle it-chefer og CIO’s i større virksomheder. I forbindelse med at KMD’s cybercenter gik ”eksternt” i sommeren 2014, gennemførte de en undersøgelse om datasikkerhed blandt 31 store danske koncerner. Disse private virksomheder er målt på antal ansatte sammenlignelige med mellemstore og større kommuner. Et gennemgående træk i denneundersøgelse er, at 96,4 pct. af virksomheder svarer bekræftende på, at mængden af data er ”meget større” end for 10 år siden. Mens kun halvdelen af virksomhederne bekræfter, at datasikkerheden også er ”meget større”. Derved opsamler virksomheder stadigt større mængder data uden at virksomhedernes sikkerhedsrutiner følger med. ”Man kan godt sige, at mange virksomheder logger store mængder af data og bruger mange ressourcer på at forsvare sig uden at kigge efter, om de er blevet udsat for angreb. Hvis ikke de konstant overvåger og analyserer data, kan de ikke vide om de er blevet angrebet. Det er en hovedpointe inden for datasikkerhed. Det nytter ikke kun at bygge forsvarsværker op og tro, at du kan undgå angreb. Du bliver angrebet hele tiden, og er nødt til at overvåge datatrafikken og tilpasse dit forsvar løbende,” siger Rasmus Theede. KMD har brugt et pænt tocifret millionbeløb på at bygge centret op og kombinerer den nyeste teknologi i samarbejde med RSA, Cisco og Logpoint samt ansættelse af dataanalytikere og efterretningsfolk. Der er rigtigt mange statistiske leverandører inde over for at få det hele til at hænge sammen. KMD indgår i et netværk med 70 internationale samarbejdspartnere som overvåger og analyserer datatrafikken over hele kloden. Østeuropæiske robotter Mange af angrebene på dansk jord kommer fra robotter, der blandt andet styres af østeuropæere. Senest har der været angreb på en række kommuner. ”Det, der skete i Gribskov Kommune var såre simpelt, rent angrebsmæssigt. Men det er meget svært at opdage, hvis du ikke har et beredskab, der holder øje med unormale trafikmønstre. Det var jo ikke et angreb, der var rettet mod kommunen. Angrebet
blev etableret ved, at der blev klikket på et link af en bruger. Vi er selvfølgelig i kontakt med andre kommuner om dette. Vores centers opgave er hurtigst muligt at opdage når noget er galt og at reagere på det,” siger Rasmus Theede. Det er den samme skadelige software, som kommuner, virksomheder og private bliver ramt af. Men det er et stort problem for kommuner og virksomheder, når de bliver ramt, fordi de ansatte deler mange filer med hinanden. Kommuner er i kontakt med mange eksterne hver dag. Virksomheder, andre kommuner, it-leverandører, som de deler og udveksler informationer med. Derfor bliver deres indbyrdes datasikkerhed et fælles problem. Det er en hel forsyningskæde af data. Phoenix Da KMD tog de første skridt til sikkerhedsanalysecentret startede de et projekt – kaldet Phoenix. Det havde til formål at opdage alle angreb. Det førte siden til, at de oprettede et uafhængigt sikkerhedsanalysecenter. ”Da jeg startede i KMD i 2013 fandt vi ud af, hvor sårbare vores applikationer og infrastruktur er. Derfor startede vi med at blive ISO 27001 certificeret for at sikre, at vores egne procedurer omkring datasikkerhed var på plads,” siger Rasmus Theede. ISO27001 er ifølge Rasmus Theede sikkerhedsbranchens mest vellykkede forsøg på at indføre en struktureret og pragmatisk tilgang til informationssikkerhed. ”Vi kan vurdere de reelle trusler mod vores informationer og nøje overveje, hvad der skal til for at beskytte os. Lige fra hvordan vi ansætter vores medarbejdere, udvikler applikationer, beskytter vores it og ikke mindst, hvordan vi reagerer effektivt, hvis vi skulle blive ofre for it-kriminalitet eller it-nedbrud.” ”Når ISO27001 først er succesfuldt implementeret, er det ikke længere et spørgsmål, om ”ulven kommer”. Vi er nu klar over, hvor der er størst risiko for, at ulven kommer fra, og hvor mange der i så fald vil komme,” siger Rasmus Theede. De kommuner, som har deres infrastruktur i KMD’s Datacenter, får de helt basale ydelser dækket af KMD’s sikkerhedsanalysecenter. ■
”
Sagt om datasikkerhed: ”80 pct. af alle organisationers ressourcer er blevet brugt på at bygge det perfekte forsvar. Mens kun 20 pct. er brugt på at kigge efter, om der er kommet noget igennem. Men i dag er der rigtig meget der kommer igennem og derfor handler det om at kigge ordentligt efter. Vi har den seneste tid set flere kendte tilfælde på, at man har stolet så meget på sit forsvar, at man ikke kiggede efter. Vi bruger 30 pct. på vores forsvar, 30 pct. på at analysere data og 30 pct. på at justere og forbedre vores forsvar hele tiden.” Rasmus Theede.
Kit Magasinet / 01 / 2015 Side 29
Sikkerhed
Af Flemming Kjærsdam
Mangel på awareness er den store udfordring i kommunerne Hackerangrebene i Gribskov og Nordfyns kommuner i januar 2015 kan skyldes manglende awareness på datasikkerhed. ”Manglende awareness i organisationen og mangel på uddannelse blandt medarbejdere er de hyppigste årsager til de sikkerhedshuller, vi ser i kommunerne,” siger direktør Klaus Kristensen, i-Trust. Hackerangrebene i Gribskov og Nordfyns kommuner i januar 2015 kan skyldes manglende awareness på datasikkerhed. ”Manglende awareness i organisationen og mangel på uddannelse blandt medarbejdere er de hyppigste årsager til de sikkerhedshuller, vi ser i kommunerne,” siger direktør Klaus Kristensen, i-Trust. Både Gribskov og Nordfyns kommuner blev ofre for hackerangreb i slutningen af januar. Begge blev angrebet med ransomware, der førte til, at kommunerne ufrivilligt får krypteret filer med en nøgle, som gør det meget vanskeligt at åbne filerne igen. ”Kommuner kan til en vis grad sikre sig mod angreb med firewalls og spamfiltre, som fanger en del af de usikre mails. Men den type forsvar fanger ikke alt. Klikker en medarbejder én gang på en usikker mail, risikerer ulykkerne at komme. Der åbnes en kanal ind i kommunen, og et stykke software gnaver sig ind på serverne og krypterer filer med en nøgle. Det andet, der kan ske efter angreb med ransomware, er, at nogen udefra laver en kanal ind gennem kommunens firewall, og i princippet kan tage alle de data ud, de vil, og kommunen kan ikke styre det eller stoppe det,” siger Klaus Kristensen. Denne type hackerangreb vil der kommer flere af, og det er kun begyndelsen til en ny digital virkelighed. i-Trust har siden 2008 gennemført sikkerhedsanalyser i Nordsec og for EU-kommissionen og arbejdet sammen med kommuner om datasikkerhed. Solide fremskridt Men der er ikke kun dårlige nyheder. Kommunerne gør stadigt mere for at forbedre datasikkerheden. I-Trust har for Kit-Magasinet samlet de danske resultater fra de to seneste Nordsec undersøgelser i 2012 og i 2014. Der er tydelige forbedringer. Omvendt så bliver truslerne udefra også større og større. Har kommunen fastlagt procedurer for uddannelse af personalet ift. informationssikkerhed? 100% 80% 60%
54%
40%
27% 15%
20% 0%
0% Ingen implementering
Mindre end 1/3
4% Mere end 1/3
Mere end 2/3
Fuld implementeret
”Hvis kommuner gerne vil undgå, at medarbejdere lader være med at klikke på mails, der ikke har med jobbet at gøre, så kræver det en indsats af en helt anden slags. Det er uddannelse og awareness, der fører til ændringer af adfærden hos den enkelte,” siger Klaus Kristensen. I 2012 havde 40 pct. af de danske kommuner fastlagt ansvaret for uddannelse af personalet om informationssikkerhed. I 2014 er dette tilsvarende steget til 65 pct. Det betegner Klaus Kristensen som meget positivt.
Har kommunen fastlagt hvem der er ansvarlig for uddannelse af personalet ift. informationssikkerhed? 100% 80% 65% 60% 40% 20%
12%
8%
12%
Mere end 1/3
Mere end 2/3
4% 0% Ingen implementering
Mindre end 1/3
Fuld implementeret
Q 2012 Q 2014
Fastlæggelse af procedurer for uddannelse af personalet. Det er steget fra 28 pct. i 2012 til 42 pct. i 2014. Også et markant løft. ”Det er typisk personalelederne, der har ansvaret for, at medarbejderne får information om datasikkerhed. Det formelle omkring datasikkerhed er ved at være på plads i mange kommuner. Og det ser betydeligt bedre ud end for to år siden. Dét, der udestår, er uddannelsen af den enkelte og adfærdsændringerne i forbindelse med at kunne agere i en digital verden.” ”Tag Digital Post. Det er ikke nok at indføre Digital Post. Kommunen skal også uddanne medarbejdere i at håndtere en dialog med borgerne på sikker mail. Det er ikke nok at udstikke instruks om, at der ikke må klikkes på en usikker mail. Hvis kommunen ikke også fortæller, at det kan skade borgerne eller kommunens omdømme, så får medarbejderne ikke den rigtige forståelse af, hvorfor viden om sikkerhed er væsentligt. Medarbejderne skal kende konsekvenserne af, hvad der sker, hvis de kommer til at trykke på en usikker mail. Det er vigtigt,” siger Klaus Kristensen. ■
Q 2012 Q 2014
Side 30 Kit Magasinet / 01 / 2015
Awareness består af fem komponenter 1
at vide hvad man må og ikke må
2
at forstå at det er relevant for jobbet
3
at have kompetencerne til at kunne udføre processerne korrekt
4
at man faktisk har til hensigt at efterleve reglerne
5
Den faktiske adfærd som typisk hænger sammen med bevidstheden om at forkerte handlinger spores tilbage til en selv
En organisations sikkerhedskultur udgøres af awareness hos den enkelte ansatte – heri ligger, at kommunerne skal se påvirkning af adfærd som en kontinuerlig proces.
”
Kommuner kan til en vis grad sikre sig mod angreb med firewalls og spamfiltre, som fanger en del af de usikre mails. Men den type forsvar fanger ikke alt. Klikker en medarbejder én gang på en usikker mail, risikerer ulykkerne at komme. Klaus Kristensen, i-Trust
En stærk og effektiv it kultur kræver Viden / Kompetencer / anvenderkultur I-Trust styrker jer på disse områder, så I undgår sikkerhedsbrist. Compliance • ISO 27001, Persondata og IS Governance • Sikkerhedskultur Fordele: • Klarlægger indsatsområder • Viser effekt • Interaktivt værktøj med øjeblikkelig score • Personlige rapporter til hver leder
Kompetencer og virksomhedskultur • eLearning i Microsofts produkter • Awareness og organisationskultur Fordele: • Målrettet indhold • Fællesskaber med andre myndigheder • Kost-effektiv og enkel
T: 40108988 M: info@i-trust.dk W: www.i-trust.dk
HVOR MANGE DAGE KAN I TÅLE AT VÆRE UDEN IT? Disse begreber bør du have styr på:
Hos Credocom har vi specialiseret os i netværk og IT-sikkerhed
Vil du vide mere? Så kontakt en af vores arkitekter på
38 140 200
Cr Credocom edocom Br Bredevej edevej 2 . DK-2830 V Virum irum Side 32 38 Kit 140 Magasinet 01 / 2015 TT:: +45 200 . /www www.credocom.dk .credocom.dk
Få et møde med en af vor vores es arkitekter og lad os sammen sætte begr begreberne eberne i struktur inden DIN organisation kommer på forsiden af avisen.
Cr edocom designer og implementer er rrentable entable IT T--løsninger. Credocom implementerer IT-løsninger. V ores løsninger tager udgangspunkt i en simpel pr ojektmodel Vores projektmodel med 4 grundlæggende faser: Analyse, design, implementering og optimering. Alle løsninger er individuelle og uafhængige af leverandør err, men baser et på standar dprodukter fra før ende leverandører, baseret standardprodukter førende inter nationale pr oducenter. internationale producenter.