BÆRUM KOMMUNE RÅDMANNEN

Transkript

1 BÆRUM KOMMUNE RÅDMANNEN Dato: Arkivkode: Bilag nr: Arkivsak ID: J.post ID: / / Saksbehandler: Harald Hjelde Saksansvarlig: Nina Bønsnes Røed Behandlingsutvalg Møtedato Politisk saksnr. Formannskapet /17 Kommunestyret /17 Informasjonssikkerhet Bærum kommune- status Kommunestyret /17 Vedtak: Formannskapet /17 Innstilling: Rådmannens forslag til vedtak: SAKEN I KORTE TREKK

2 Bærum kommune forvalter informasjon av alle slag på vegne av innbyggerne i kommunen. Denne informasjonen må beskyttes nøye. Dette innebærer at det må foreligge oversikt over hvilke data kommunen forvalter, og hvilke systemer og personer som har tilgang til disse. Det digitale førstevalg tilsier at avhengigheten av datasystemer øker, samtidig som systemene og samspillet mellom disse blir mer og mer komplekst. Trusselbildet endrer seg til stadighet, og det er ikke mulig helt å unngå risiko. Men det er viktig å være klar over hvilke risikoer kommunen er villige til å ta, og treffe tiltak mot trusler som ikke aksepteres. I helhetlig ROS-analyse for Bærum kommune, er bortfall av tele- og Ekom omhandlet som kommunens fremste sårbarhetsområde. Rådmannen har som del av Styringssystem for IT etablert et styringssystem for informasjonssikkerhet. Det består av en utpenkt informasjonsikkerhetsansvarlig i Digitalisering og IT (DigIT), et sikkerhetsforum, sikkerhetshåndbok med retningslinjer og et opplegg for opplæring av ledere og ansatte. Kartlegging av alle sikkerhetshendelser i DigIT, indikerer at det er en økende mengde sikkerhetsangrep mot kommunens dataløsninger/-tjenester, databrukere, PCer og nettverk. Det forventes at denne trenden øker og at nye trusler øker i takt med økende databruk og løsninger. Innføring av ny personvernforordning i EU i mai 2018, vil også stille nye sikkerhetskrav. Informasjonsikkerhet er derfor et område hvor det er behov for en økende oppfølging i takt med digitalisering av kommunens tjenester og økt omfang av sikkerhetsangrep. 12. mai ble tusenvis av maskiner i hundre land rammet av et løsepengevirus. I løpet av påfølgende helg ble sårbarheter i Bærum kommunens IT-infrastruktur kartlagt og det ble iverksatt tiltak ihht anbefalinger fra HelseCERT (Norsk helsenetts overvåkningstjeneste) og NorCERT (Nasjonal Sikkerhetsmyndighets overvåkningstjeneste). Så langt er det ikke observert infeksjoner i Bærum kommuen som følge av angrepet. Det antas imidlertid at nye varianter av viruset kan komme. Ansatte varsles fortløpende om hvilke tiltak hver og en må gjøre. Tidligere behandling Sak 033/17 Digitaliseringsstrategi for Bærum kommune, vedtatt i Kommunestyret Del 2 Nærmere om saken Aktuelle sikkerhetsutfordringer og trender Sikkerhetsutfordringene innen informasjonssikkerhet omfatter alle nivåer fra beskyttelse av enkeltpersoners mobiltelefoner til beskyttelse av kommunens digitale infrastruktur og IT-systemer som er avgjørende for både kommunens tjenesteproduksjon og trygghet for innbyggerne i forhold til at informasjonen om dem blir trygt forvaltet. Et forhold som gjør det svært vanskelig å treffe effektive mottiltak mot eksterne trusler er at vi ikke vet med sikkerhet hvem som ønsker å angripe oss, eller hvorfor de vil gjøre det. Terrorsituasjonen i verden har på mange måter rykket nærmere oss i Norge det siste året, og terrororganisasjoner har også cyber-krigere som kan ramme mål hvor som helst det er ingen grenser på Internett. Mørketallsundersøkelser viser hvert år at det er veldig mange episoder som ikke blir offentliggjort,

3 men omfanget av både sabotasje og spionasje er kraftig økende. Dagens trusselbilde er veldig uoversiktlig, der både fremmede makter, terror-organisasjoner, organiserte kriminelle, hacktivister og data-vandaler kan tenkes å forsøke å trenge inn i våre systemer, eller prøve å gjøre de utilgjengelige. Dette gjelder også for kommunens styringssystemer, f.eks. vannverk. Tilsvarende har vi mange interne forhold, for eksempel ansatte som med forsett eller av vanvare kompromitterer data eller forårsaker nedetid på systemer. Vi ser også at verktøy og metoder for lokal hacking av PCer og servere nå er så lett tilgjenglige og billig, at for eksempel elever ved ungdomsskoler bevisst eller ubevisst kan stå bak alvorlige sikkerhetshendelser. Tiltak for å møte utfordringene Informasjonssikkerhet må ivaretas gjennom mennesker, prosesser og teknologi. Nedenfor er noen av de viktigste områdene beskrevet. Rådmannen har som del av styringssystemet for IT, etablert et styringssystem for informasjonssikkerhet. HR direktøren er sikkerhetsansvarlig på vegne av Rådmannen, på tvers av ulike sikkerhetsområder. Det er opprettet et sikkerhetsforum som foruten HR direktør, består av Direktør for Digitalisering og IT, Eiendomsdirektør, Systemforvalter fra skole, IT sikkerhetsansvarlig, Personvernombud, Beredskapsansvarlig, Virksomhetskontroller og HR sikkerhetsansvarlig. Sikkerhetsforum avholdes halvårlig og ved behov. Utfordringer knyttet til informasjonssikkerhet er av de områder som diskuteres og nødvendige tiltak vedtas. Det er også utarbeidet en informasjonssikkerhetshåndbok som er bygget på god praksis og internasjonale standarder som ISO Den inneholder foruten sikkerhetsstrategi, regler og retningslinjer for informasjonssikkerhet for alle ansatte. Kommunens ansatte blir oppdatert på trusler og preventive tiltak gjennom nanoleksjoner (små opplæringssnutter på e-post), seminarer/presentasjoner og kurs. Hvert år markeres «Sikkerhetsmåneden» i oktober med aktuelle tiltak for å øke bevisstheten rundt informasjonssikkerhet. Alle systemeiere har plikt til å rapportere all behandling av personopplysninger til Personvernombudet i kommunen (se eget avsnitt om ny Personvernforordning). Risikovurderinger skal gjennomføres før nye systemer som behandler personopplysninger tas i bruk. Hvis kommunens data og systemer driftes av eksterne virksomheter, skal det tegnes databehandleravtale med disse. Kommunens nettverk er delt opp i soner i henhold til Datatilsynets anbefaling. Brannmurer og terminalservere står mellom sonene og regulerer kommunikasjonen. Sikkerhetsarkitekturen er bygd lagvis, slik at det er flere hindre for å komme igjennom. Sikkerhetsteamet i DigIT følger nøye med på trusselbildet og treffer tiltak for alle aktuelle trusselscenarier. Årlig avholdes «Ledelsens gjennomgang»i Rådmannens ledergruppe, der status i arbeidet med informasjonssikkerhet er av de tema som diskuteres. I møte presenteres trusselbildet, statistikker fra sikkerhetskontroller og implementerte tiltak. Behov for nye kommuneovergripende tiltak diskuteres og evt. vedtas.

4 Det er også verd å nevne kommunens beredskapsteam som har etablert prosedyrer for håndtering av kriser som kan begynne som et lite avvik på informasjonssikkerhetssiden men fort eskalere til høyere nivå av faregrad. Beredskapsteamet har gode støtteverktøy og gjennomfører øvelser på ulike nivå for å være operativt. Utdyping av dagens trusselbilde Denne oversikten viser antall sikkerhetshendelser fordelt på type hendelse det siste året: Nettfisking (phishing); Dette er samlebegrepet på digital snoking etter sensitiv informasjon, som passord eller kredittkortnummer. Bærum kommune har i 2016 hatt en rekke tilfeller av stjålne brukernavn og passord (ca 30) via nettfisking, som igjen har medført at e-postkasser har blitt misbrukt. Det er registrert 2 tilfeller hvor det er forsøkt å få overført penger. Spam mail er ikke alltid en trussel men fyller opp postbokser og datafiler med unyttig søppel. I 2016 var 95% av de 100 millionene epostene som kom til kommunens postkasser, spam mail eller phising. Virus; Mange løsepengevirus (forsøk på å gjøre innhold på datamaskiner og filområder uleselig for å kreve penger for å gi tilganger) ble stanset av kommunens sikkerhetsmekanismer i Tre like virus klarte å komme gjennom sikkerhetsbarrierene og krevde manuell oppfølging av IT-sikkerhet. Virusene ble fjernet uten tap av data. En kritisk sårbarhet i kommunens antivirusløsning, ble håndtert gjennom hasteoppdatering.

5 Andre sikkerhetsutfordringer: Tjenestenektangrep; Data-angrep som har til hensikt å gjøre kommunens tjenester utilgjengelige ved å styre stor datatrafikk til kommunens nettverkskomponenter/servere..kommunen hadde en rekke tjenestenektangrep og uønsket kartlegging fra eksterne av infrastruktur og tjenester i 2016, men kun 2 store som kunne medført alvorlig brudd på tilgjengelighet. Det ene av disse kom fra undervisningsnettet og forsøkte å ta ned sentrale nettverkskomponenter ved å overbelaste dem. Angrep og kartlegginger ble stanset av våre sikkerhetsmekanismer, samt rutiner for hendelseshåndtering. Misbruk av kommunens gratis trådløse nett; Det er registrert en utstrakt bruk av kommunens trådløse nettverk til å begå ulovlige handlinger. Det har vært observert ulovlig fildeling, høy båndbreddekonsumering og forsøk på å bruke hackerverktøy via kommunens trådløse nett. Det er utfordrende å lage gode tekniske tiltak på grunn av type trafikk og manglende kontroll på hva slags utstyr som er tilkoblet. Videre utvikling i trusselbildet Sårbarheter i «Tingenes internett» (Internet of Things) kan medføre at sensorer; smarttelefoner, digitale låsesystemer, GPS sporing mm. kan utnyttes til ondsinnede formål. Noen eksempler på dette er insulinpumper som har blitt manipulert til å gi dødelig doser med insulin på 1,5 km avstand via internett, pacemakere har blitt manipulert, sensornettverk for parkering og andre internettilkoblede enheter har blitt kompromittert og benyttet til å angripe andre organisasjoner, mange tusen hjemmerutere ble også kompromittert av kriminelle og benyttet til angrep mot andre (Mirai nettverket). Tjenestenektangrep blir mer og mer utbredt og selges fritt som tjenester på internett. Nettfiskingsgangrep alene, eller i kombinasjon med andre typer sosial manipulasjon vil trolig bli mer utbredt. Skytjenester vil antakelig i større grad bli mål for kriminelle, ettersom flere flytter verdier ut i skyen. Allerede i 2016 ble veldig mange store og små skyleverandører hacket, inkludert også Dropbox, Badoo og Yahoo. Flere av virksomhetene som ble berørt av hackerangrepet 12. mai, fikk de aktuelle tjenestene levert som skytjenester. Angrep på sentral internett infrastruktur kan bli en utfordring (ref; Lysneutvalget og digital sårbarhet ved komplekse næringskjeder). Spesielt viktig med tanke på digitaliseringen i Norge. Applikasjoner og tjenester som ikke er tilstrekkelig sikret i forbindelse med det pågående digitaliseringsarbeidet i Norge, vil kunne gi kriminelle adgang til interne tjenester og potensielt også sensitive data Ny personvernforordning (GDPR) og konsekvenser for kommunen I mai 2018 innføres en forordning som som skal styrke og harmonisere personvernet ved behandling av personopplysninger i EU. Den gjelder for alle som behandler personopplysninger, og stiller krav til at offentlige instanser og leverandører som behandler store mengder med sensitive opplysninger, har et personvernombud. Bærum har hatt et slikt personvernombud de siste 5 årene, men nå blir det altså et pålegg. Gjennom forordningen gis de som er registret i ett register flere rettigheter. Det handler bl.a. om retten til å bli glemt, rett til innsyn, rett til å ta med egne data, rett til å motsette seg profilering av det offentlige, retten til å motsette seg automatisk saksbehandling mm. Brudd på forordningen straffes med bøter på opptil 4% av budsjettet eller inntil 20 mill Euro. Det

6 stilles også krav til at sikkerhetshendelser skal rapporteres innen 72 timer og at berørte skal varsles umiddelbart. Det er behov for å videreutvikle en rekke tiltak i Bærum kommune for å sikre at forordningen ivaretas: Etablere et oppdatert styringssystem for informasjonssikkerhet Opplæring av ansatte gjennom nanoleksjoner, kurs, seminarer og presentasjoner Internrevisjoner med tanke på bevissthet rundt informasjonssikkerhet Innføre arbeidsprosesser som understøtter ny forordning Måling og forbedringssykluser knyttet til sikkerhetshendelser og endringer Etablert verktøy og rutiner for risikostyring Kompetanseheving gjennom sertifisering av ansatte med et sikkerhetsansvar hos DigIT Lagvis sikkerhetsarkitektur (løk prinsippet) Etablert rutiner for sikring av digitale bevis og samhandling med politi Konsekvenser for Bærum kommune de neste årene. Basert på det generelle trusselbildet og spesielt i lys av hendelsen som rammet internasjonalt 12. mai kan vi forvente betydelig forverret risiko på dette området i tiden som kommer. I vår handlingsplan for digitalisering i Bærum planlegger vi i tråd med føring om digitalt førstevalg å legge over tjenester til i større grad å tilby selvbetjening og automatisering. Hånd i hånd med dette må kompetanse, verktøy og kapasitet på informasjonssikkerhet styrkes. Det er store gevinster med digitalisering av alle kommunens tjenester men vi må samtidig sikre at våre tjenester og enkeltindividenes opplysninger ivaretar konfidensialitet, tilgjengelighet og integritet på en god måte. Vi kan se av våre erfaringer nylig at den eksplosive utviklingstakten utfordrer oss både i forhold til forvaltning og styring. Vi vil måtte være mye raskere i å etablere respons på endringer i trusselbildet. Vi må sikre kapasitet og kompetanse men også partnerskap og verktøy med en annen endringstakt enn vi har hatt tradisjonelt, og vil måtte operere BÅDE med langsiktige planer og budsjetter og kortsiktig, raske, målrettede tiltak. Dette er arbeid vi vil komme tilbake til i handlingsplan for digitalisering og IT som i tråd med tidligere vedtak legges frem i september. Gjennom vår tilnærming i bruk av de beste på sine områder vil vi ikke bare være ledende i å ta i bruk felleskomponenter i offentlig-norge, men også være en aktiv pådriver i å utforme nye løsninger og arkitekturer til beste for innbyggere og kommuner i hele landet. I tråd med dette er Bæum kommune sentrale i det nasjonale arbeidet innen informasjonsikkerhet. Behandlingen i møtet Kommunestyret Votering: Innstillingen ble enstemmig vedtatt. Kommunestyret /17:

7 Vedtak: Behandlingen i møtet Formannskapet Orientering til saken ved direktør Harald Hjelde og avdelingsleder Trond Sundby, Digitalisering og IT. Votering: Rådmannens forslag ble enstemmig vedtatt. Formannskapet /17: Innstilling: