Skjer a? Brukerkontaktseminaret Informasjonssikkerhet Torsdag, Mulighetenes Oppland

Transkript

1 Skjer a? Brukerkontaktseminaret Informasjonssikkerhet Torsdag, 20.4.

2

3 Lover, forskrifter og føringer GDPR Trusler -forebygge trusler Våre Retningslinjer Sikkerheten for Innbyggere og for ansatte. Rettigheter og plikter Standarder. Bruk av teknologien, forståelse - digitale ferdigheter

4 Informasjonssikkerhet er: - samlebetegnelse for krav til påliteligheten og sikkerheten som knyttes til informasjon. Begrepet omfatter tre delområder: konfidensialitet, -sensitiv eller gradert informasjon bare skal være tilgjengelig for autoriserte personer og prosesser informasjonskvalitet og -integritet, -informasjonen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter tilgjengelighet, -oppfyllelse av krav til service, slik at alle berettigede krav om tilgang til informasjonen dekkes ved behov Datasikkerhet er informasjonssikkerhet for informasjon som er lagret digitalt.

5 Agenda: Forankring, organisering og bakgrunn 1. Lover og retningslinjer 2. Trusler 3. Vår sikkerhet 4. Bruk av teknologien Retningslinjene Den enkelte medarbeiders kunnskap, adferd og holdninger til informasjonssikkerhet vil være en del av virksomhetens sikkerhetskultur.

6 Organisering av informasjonssikkerhet er i henhold til personopplysningsloven. Ansvar 1. Fylkesrådmannen har det øverste ansvaret for informasjonssikkerheten i fylkeskommunen. 2. For å operasjonalisere fylkesrådmannens ansvar ivaretas utøvelsen av henholdsvis sikkerhetsledelse og driftsledelse på følgende måte: Koordinerende sikkerhetsansvarlig = Controllerfunksjonen i fylkesrådmannens rådgivergruppe Operativ sikkerhetsansvarlig drift av felles infrastruktur og løsninger IKT = Fagenhet IKT 3. Informasjonssikkerhet i Oppland fylkeskommune er et lederansvar som følger det ordinære linjeansvaret 4. Den enkelte medarbeider har et selvstendig ansvar for å følge gitte regler og vise aktsomhet i sitt daglige arbeid med fylkeskommunale IKT-programmer og IKT-utstyr 5. Det lages et opplegg for å innarbeide sikkerhetsarbeidet i organisasjonen og i det ordinære rapporteringssystemet i fylkeskommunen.

7 1. Lover og retningslinjer.

8

9 Sikkerhetstiltak Organisatorisk sikring Ledelse Risiko Kontroll Fysisk sikring Låser Vakt Systemteknisk sikring

10 Systemteknisk sikring av: Konfidensialitet Tilgangskontroll, autorisasjon, kryptering, sletting Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Tilgjengelighet Alternativ behandling, duplisering, backup Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Integritet Viruskontroll, innbruddskontroll Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig.

11 2. Trusler. Hovedtrusler Virus Tap av data Reputation Ifølge Norsk senter for informasjonssikring (NorSIS) viser erfaring at menneskelige feil er årsaken til minst 80% av sikkerhetsbruddene. Feilen skyldes ofte lav IKT-kompetanse eller mangelfull forståelse av systemene

12 Virus utvikling..fra: Vilkårlig 'ugagn' for å skape irritasjon og tjenestenekt...til: Målrettede angrep for å presse penger.

13 Utfordring Vi blir angrepet av stort antall virus hver dag. De fleste slike hendelser håndteres av våre antivirussystemer og er ikke merkbare for brukerne. Fra tid til annen blir vi rammet av helt nye virus ("Zero Day") som systemene våre ikke oppdager. Første angrep av "Ransomware" hadde vi i august Omfattende skade og mye arbeid. Oppslag i media. I 2015 hadde vi ett angrep (i juli) som ble stoppet før det gjorde stor skade. To angrep i 2016 med relativt stor skade (+ mye ekstra-arbeid). Hittil i 2017: Ingen angrep (bank i bordet )

14

15

16

17 Vi har også stadig tilfeller av ulike former for forfalskning, f.eks. ved falske e-postmeldinger eller innbrudd på andres (fortrinnsvis læreres) brukerkonti. Noen klipp: "Elev har vært inne og sett på prøver". "Har vært i Fronter og sett på tre prøver". "Har sendt e-post til sine foresatte fra kontaktlærers e-post, med en fingert karakterutskrift". (Ble oppdager fordi eleven hadde tatt litt for hardt i og foreldrene kunne ikke tro at det var sant). "Elev har vært jevnlig inne og lest lærers e-post". "En elev har opprettet en hotmail-adresse i kontaktlærerens navn og spurt gymlæreren om å få tilsendt gymprøven". "I forbindelse med heldagsprøve i dag har vi oppdaget at det er satt opp et falskt nett i gymsalen". "Hei! Jeg lurte på om dere kunne utsette samfunnsfag prøven til mandag, eller torsdag neste uke. Vi har tenkt å ha en avskjedstime for Dimitri på slutten av dagen, siden han flytter imorgen.> Vennlig hilsen Bente." (Forfalsket melding fra en lærer til en annen).

18 3. Standarder. Bruk av teknologien, -forståelse - digitale ferdigheter Retningslinjene skal også være med på å ivareta forventningen/kravet vårt til standardisering av utstyr og løsninger og bruk av felles-løsninger og om hvordan vi skal forholde oss til teknologien. Våre digitale ferdigheter. Retningslinjene hensyn tar også miljøaspektet og kostnadseffektivisering, for hele organisasjonen.

19 4. Sikkerheten for innbyggere og for ansatte. Rettigheter og plikter Retningslinjene skal regulere og i varta forholdet mellom deg som medarbeider og OFK (eiendomsrett), innsyn i e-post mv., - din sikkerhet både som medarbeider og innbygger.

20 1. Bruker-ID og passord Som ansatt i Oppland fylkeskommune (OFK) er du ansvarlig for all databruk basert på din bruker-id, og du skal ta nødvendige forhåndsregler for at den ikke misbrukes. Du er selv ansvarlig for at uvedkommende ikke får tilgang til systemer og data via dine klientmaskiner (PC, pad, mobil). Når du ikke sitter ved arbeidsplassen, skal PC-en være låst. (Ctrl+Alt+Delete Lås denne datamaskinen). Ditt passord er personlig og skal holdes hemmelig for andre. Ved mistanke om at andre har fått kjennskap passordet ditt, skal du umiddelbart endre det. (Ctrl+Alt+Delete Endre et passord). OFKs bruker-id og passord skal ikke brukes som identifikasjon mot eksterne systemer.

21 2. Privat bruk og eiendomsrett OFK eier alle virksomhetsrelaterte dokumenter og e-post-meldinger som er lagret i OFKs datasystemer og enheter som er eid av Oppland fylkeskommune. OFKs datautstyr og programmer, herunder e-post, skal primært benyttes til jobbformål. Privat bruk skal begrenses og alltid skje i tråd med OFKs retningslinjer. Bruk i egen næringsvirksomhet er ikke tillatt. Det er kun tillatt å laste ned, lagre eller distribuere opphavsbeskyttet materiell (bilder, musikk, video, osv.) som er jobbrelatert og som OFK eller den ansatte har avtalefestet rett til å bruke og/eller gyldig lisens til. Dersom du mottar materiell i brudd med dette skal du umiddelbart fjerne det fra din PC (inklusive å tømme den elektroniske søppelkassen). Privat e-post eller private ytringer på internett skal ikke inneholde tekst som kan knytte innholdet til OFK, eller medvirke til at private meninger tillegges OFK. All privat e-post skal lagres i en mappe som heter "Privat".

22 3. Innsyn OFK følger bestemmelsene i personopplysningsforskriftens kap. 9 om innsyn i arbeidstakeres e-post mv. Reglene gjelder tilsvarende for arbeidsgivers adgang til gjennomsøkning av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk, samt opplysninger som arbeidstaker har slettet, men som finnes lagret på sikkerhetskopier eller lignende som arbeidsgiver har tilgang til. Arbeidsgiver har rett til innsyn i følgende situasjoner: Når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. Ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. OFK har til enhver tid innsyn i opplysninger som er lagret på fellesområder eller e-post som er felles for hele virksomheten.

23 4. Virus og spam Vær ytterst varsom med å åpne ukjente vedlegg eller å trykke på lenker du ikke er trygg på. Har du mistanke om at PC-en din er rammet av virus skal du: Slå av PC-en umiddelbart. Så raskt som mulig ta kontakt med IKT-Servicedesk eller systemansvarlig. For å unngå SPAM (uønsket e-post) skal du være ytterst forsiktig med hvor du utleverer din e-postadresse. Hvis du mottar SPAM skal du ikke besvare eller benytte svarmeldinger som f.eks. "Avbestill", "Meld meg av", "Usubscribe", el. Dette bekrefter overfor avsender at e-postadressen er i aktiv bruk, og vil gjøre den enda mer utsatt for SPAM.

24 5. Konfidensialitet Den generelle taushetsplikt gjelder fullt ut også ved kommunikasjon via e-post, chat, sms, osv. E-post skal ikke benyttes til å distribuere dokumenter som er unntatt offentlighet eller inneholder personnummer eller sensitive personopplysninger. Kun bemyndigede personer har anledning til å føre formelle forhandlinger via e-post, som for eksempel i forbindelse med anbudsprosesser. All slik e-postkorrespondanse skal journalføres av den enkelte saksbehandler eller av arkivet. Kun OFKs e-postadresser kan benyttes for å kommunisere jobbrelatert informasjon. Det skal ikke sendes eller besvares jobbrelaterte e-post fra en ikke-ofk e-postadresse (f.eks. fra en privat e-postadresse). Du skal som hovedregel ikke åpne andres e-post. Mottar du en melding som ikke er til deg, skal du returnere den til avsender og påføre at du mottok den ved en feil. Deretter skal du slette meldingen du mottok permanent ved å benytte SHIFT+DELETE.

25 6. E-post Automatisk videresending av e-post til eksterne adresser, inklusive private e- postadresser, er ikke tillatt. Automatisk videresending av e-post fra en ikke-ofk e-postkonto (f.eks. privat e- postkonto) til ens egen eller andres OFK e-postadresse er ikke tillatt. E-post bør ikke brukes til "kringkasting" eller "annonsering" til store mottaker-grupper. For slike meldinger kan ansattportalen benyttes. E-post bør ikke brukes som et dokumentarkiv. Istedenfor vedlegg bør det benyttes lenker eller andre henvisninger til aktuell informasjon. Dersom du ikke selv bruker saksbehandlingssystemet, skal all inngående e-post som er arkivverdig umiddelbart videresendes arkivet enten elektronisk eller på papir. Angi hvilken sak det gjelder.

26 7. Lagring, utskrift og arkivering Jobbrelaterte dokumenter og filer skal fortrinnsvis lagres på tjenestestedets fellesområde (F:), aldri lokalt på PC-en (C:), og bare unntaksvis på ditt eget hjemmeområde (H:). Dokumenter og filer med sensitive personopplysninger (rasemessig eller etnisk bakgrunn, politisk, filosofisk eller religiøs oppfatning, at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, helseforhold, seksuelle forhold eller medlemskap i fagforeninger) skal lagres i sikker sone, ingen andre steder. Fullt personnummer koblet til navngitt person skal behandles som sensitiv personopplysning. Utskrift av dokumenter med sensitive personopplysninger skal kun foretas på skrivere som kontrolleres av "follow me"-løsning, dvs. at det kreves at bruker autentiserer seg på skriveren før utskriften starter. Dokumenter som er gjenstand for saksbehandling eller som har verdi som dokumentasjon skal arkiveres i sak/arkivsystemet P360. Dette gjelder også e-post. OFKs datasystemer skal ikke benyttes for å lagre private data.

27 8. Støtende og diskriminerende informasjon Det er ikke tillatt å skrive, abonnere på, lagre eller distribuere e-post med støtende, injurierende, rasistisk eller obskønt innhold eller materiell. Dette inkluderer innhold og materiell knyttet til rase, kjønn, seksuell orientering, pornografi, religiøs eller politisk tro, nasjonalt opphav eller fysiske og psykiske hemninger. Dersom du mottar ovennevnte informasjon, skal du umiddelbart fjerne den aktuelle informasjonen fra din PC (inklusive å tømme den elektroniske søppelkassen). Du skal ikke varsle avsender om forholdet da dette vil kunne føre til uønsket risikoeksponering og videre distribusjon av uønsket eller ulovlig informasjon.

28 Retningslinjene finner du her: