Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Transkript

1 Byrådssak 1191 /15 Klassifisering av informasjonssystemer i Bergen kommune LIBR ESARK Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en rapport som omhandler klassifisering av systemer som behandler informasjon. I dagens samfunn er informasjonsteknologi og digitale løsninger tatt i bruk på de aller fleste områder. Alle kommunens tjenester og ansatte er på ulike vis berørt av helt eller delvis elektroniske systemer. I alt hadde Bergen kommune pr. første kvartal 2015 mer enn 300 elektroniske systemer (store og små) som behandler informasjon av en eller annen karakter. I denne saken omtales disse systemer som informasjonssystemer. Rapporten presenterer et nylig gjennomført klassifiseringsprosjekt, som har hatt som målsetting å kartlegge, klassifisere og verdivurdere kommunens informasjonssystemer. Det er gjennomført risiko- og sårbarhetsanalyser, for å avdekke hvilke systemer som må anses å være kritiske for kommunen. Bergen kommune er med dette arbeidet blant de kommunene som er kommet lengst i verdivurdering av nødvendige informasjonssystemer. Samtidig er dette et helt nødvendig arbeid for å styrke sikringen av kritiske systemer. Bergen kommune er også i tett dialog og samarbeid med nasjonale aktører innen informasjonssikkerhet, og ligger generelt sett godt an i forhold til dette arbeidet. Byrådet har i henhold til kommuneloven 20 nr. 2 ansvar for å sikre at administrasjonen driver i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Herunder eforvaltningsforskriftens 15, med krav til «internkontroll på informasjonssikkerhetsområdet». Byrådet har de siste årene tatt en rekke grep for å sikre betryggende kontroll. Dette kartleggings- og klassifiseringsarbeidet av informasjonssystemer kan ses som en del av dette arbeidet. Klassifiseringsprosjektet har avdekket at 10 informasjonssystemer er klassifisert som «kritisk» og at kommunen ikke i tilstrekkelig grad har etablert et driftsregime som kan håndtere de kravene som bør stilles til informasjonssystemer, som understøtter virksomhets- og samfunnskritiske tjenester. Dersom informasjonen i disse systemene blir utilgjengelig, eksponert for uvedkommende eller har feil kvalitet, kan det føre til at virksomhets- og samfunnskritiske tjenester ikke kan produseres eller produseres i tilstrekkelig mengde eller med tilfredsstillende kvalitet. Det er spesielt i forhold til de kritiske systemene klassifiseringsprosjektet foreslår å sette inn tiltak. Ett av de foreslåtte tiltakene er å få utredet muligheten for alternative driftsløsninger, utenfor kommunens eksisterende driftslokaler, som sikrer at de mest kritiske systemene fortsatt fungerer, selv om kommunens systemer og/eller infrastruktur rammes av driftsproblemer eller driftsstans. Alternativ driftsløsning skal overta dersom kommunens ordinære driftssted faller ut. I tillegg anbefales det at det utarbeides og besluttes en grunnleggende prioritering av gjenoppretting av kritiske informasjonssystemer, i tilfeller der flere systemer er involvert i en hendelse. Tiltakene presenteres i sin helhet i saksutredningens kap. 4. Der tiltak vil ha økonomiske konsekvenser ut over vedtatt budsjettramme (gjelder tiltak 1), vil forslag om iverksetting av tiltak fremmes på vanlig måte gjennom de ordinære budsjett- og økonomiplanprosessene. Rapporten fra klassifiseringsprosjektet følger som vedlegg til saken. Rapportens vedlegg B D er med hjemmel i offentlighetsloven 24 tredje ledd unntatt fra offentligheten. 1

2 Vedtakskompetanse: Byrådets fullmakter 2.4: «Byrådet har ansvar og myndighet til å forestå den løpende drift av kommunens virksomhet.» Byråden for finans, eiendom og eierskap innstiller til byrådet å fatte følgende vedtak: 1. Alternativ driftsløsning skal utredes for informasjonssystemer hvor risiko er kritisk. 2. Beredskapsplaner skal etableres for informasjonssystemer som er klassifisert som kritisk og bør vurderes for informasjonssystemer som er klassifisert som høy, eller byråden for finans på annet grunnlag anser dette som nødvendig. 3. Beredskap på IKT-området skal integreres med kommunens øvrige beredskapsarbeid. 4. Berørte byråder får ansvar for å beslutte en grunnleggende prioritering av gjeninnføring/oppretting av kritiske informasjonssystemer i tilfeller hvor to eller flere systemer er involvert i en hendelse. 5. Forslag om iverksetting av tiltak vurderes gjennom de ordinære budsjett- og økonomiplanprosessene. Dato: 26. mai 2015 Dette dokumentet er godkjent elektronisk. Liv Røssland byråd for finans, eiendom og eierskap Vedlegg: 1. Rapport kartlegging og klassifisering Rapport kartlegging og klassifisering - vedlegg b-d. U.off iht Off. loven 24 tredje ledd 2

3 Saksutredning: 1. Innledning I dagens samfunn er informasjonsteknologi og digitale løsninger tatt i bruk på de aller fleste områder. Dette ser vi også i kommunesektoren. Alle kommunens tjenester og ansatte er på ulike vis berørt av helt eller delvis elektroniske systemer. Noen av disse er gjennomgående systemer som benyttes for hele eller store deler av kommunen (sak-arkiv-system, økonomisystem, HR-system, epost-program osv.) Andre er sektorspesifikke, knyttet til bestemte tjenesteområder (journalsystem, turnus- og vikarsystem, kvalitetsog avvikssystemer osv.). En hel del systemer er rent fagspesifikke systemer som støtter en konkret funksjon/oppgaveløsning i en fagetat/avdeling (vannbehandlingssystem, brannvarslingssystem, trygghetsalarm osv.). I alt hadde Bergen kommune pr. første kvartal 2015 mer enn 300 elektroniske systemer (store og små) som behandler informasjon av en eller annen karakter. I denne saken omtales disse systemene som informasjonssystemer. En viktig målsetting i IKT Strategi er at Bergen kommune skal være i stand til å håndtere forutsette og uforutsette hendelser på IKT-området på en slik måte at kritisk tjenesteproduksjon i minst mulig grad blir rammet og tilstrekkelig raskt kan tilbakeføres til ordinær drift. Klassifiseringsprosjektet er et tiltak for å sikre at Bergen kommune klarer å oppfylle denne målsettingen. Bergen kommune er med dette arbeidet blant de kommunene som er kommet lengst i verdivurdering av nødvendige informasjonssystemer. Samtidig er dette et helt nødvendig arbeid for å styrke sikringen av kritiske systemer. Bergen kommune er også i tett dialog og samarbeid med nasjonale aktører innen informasjonssikkerhet, og ligger generelt sett godt an i forhold til dette arbeidet. Det er i perioden september 2013 mars 2015 gjennomført en kartlegging og klassifisering av de ulike informasjonssystemene som er i bruk i kommunen (klassifiseringsprosjektet). Som ledd i dette arbeidet er det gjennomført risiko- og sårbarhetsanalyser, for å avdekke hvilke systemer som må anses å være kritiske for kommunen. Med utviklingen av nye teknologiske løsninger følger også nye trusler. Dette understrekes av både Nasjonal sikkerhetsmyndighet, PST og forsvarets etterretningstjeneste i deres risikovurderinger for Når virksomheten, i takt med samfunnet for øvrig, i stadig større grad baseres på og blir avhengig av elektroniske løsninger, øker også konsekvensene av både organiserte hackerangrep og andre former for sabotasje mot viktig infrastruktur og systemer som er avgjørende for å sikre kvalitet i kommunens tjenesteproduksjon. Men også uten slik organisert kriminalitet utenfra, er det risiko for systemsvikt og at kritisk og/eller konfidensiell informasjon skal komme på avveier, bli endret eller gå tapt. Konsekvensene av slike hendelser kan i noen tilfeller være svært alvorlige, med lovbrudd, materielle skader, økonomisk tap og i verste fall fare for liv og helse som resultat. Byrådet har i henhold til kommuneloven 20 nr. 2 ansvar for å sikre at administrasjonen driver i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Av eforvaltningsforskriftens 15, følger krav til «internkontroll på informasjonssikkerhetsområdet». Byrådet har de siste årene tatt en rekke grep for å sikre betryggende kontroll. Det gjennomførte kartleggings- og klassifiseringsarbeidet av informasjonssystemer er en del av dette arbeidet. Samtidig med at klassifiseringsprosjektet har pågått, er det som ledd i arbeidet med samfunnssikkerhet og beredskap gjennomført overordnete ROS-analyse for Bergen kommune. Disse arbeidene er sett i sammenheng, slik at klassifiseringsprosjektet fungerer som en Nivå 2 ROS for IKT- og informasjonssikkerhetsområdet. 2. Om saken I denne saken gis en omtale av klassifiseringsprosjektet. Det gis en aggregert oversikt over verdivurderte (klassifiserte) systemer pr byrådsavdeling samt hvilke tiltak som anbefales for informasjonssystemer og tilhørende IKT-infrastruktur. 3

4 Formålet med saken er å på et overordnet nivå presentere resultater fra klassifiseringsprosjektet og å foreslå tiltak for å sikre et stabilt driftsregime for de informasjonssystemene som er rangert som «kritisk». Den viktigste anbefalingen er å få utredet muligheten for alternative driftsløsninger, utenfor kommunens eksisterende driftslokaler, som sikrer at de mest kritiske systemene fortsatt fungerer, selv om kommunens systemer og/eller infrastruktur rammes av driftsproblemer eller driftsstans. I tillegg anbefales det at det utarbeides og besluttes en grunnleggende prioritering av gjenoppretting av kritiske informasjonssystemer, i tilfeller der flere systemer er involvert i en hendelse. I det følgende gis en nærmere omtale av klassifiseringsprosjektet. Resultatene fra klassifiseringsarbeidet presenteres og det gis en orientering om de standarder som ligger til grunn for den klassifiseringen som foreligger (kap. 3). Deretter beskrives det hva resultatene fra klassifiseringsarbeidet vil innebære av tiltak (kap. 4). Avslutningsvis gis det en omtale av økonomiske konsekvenser og hvordan disse skal håndteres (kap 5). Rapporten fra klassifiseringsprosjektet følger som vedlegg til saken. Rapportens vedlegg B D er med hjemmel i offentlighetsloven 24 tredje ledd unntatt fra offentligheten. 3. Presentasjon av klassifiseringsprosjektet. Standarder som er benyttet og resultater. Seksjon IKT Konsern i Byrådsavdeling for finans, eiendom og eierskap har gjennomført prosjektet med bistand fra konsulentselskapet KPMG. I tillegg har sentrale aktører i byrådsavdelingene deltatt i gjennomføring av konsekvens- og sikkerhetsvurdering. Styringsgruppen har bestått av kommunaldirektører som har ansvar for tjenester med tettest kobling mellom kritisk tjenesteproduksjon og understøttende informasjonssystemer. Bergen kommunes systemoversikt, har vært grunnlag for arbeidet med klassifisering av informasjonssystemene. En del av arbeidet har vært å kvalitetssikre systemoversikten slik at den er i overensstemmelse med kommunens portefølje av informasjonssystemer. Oversikten inneholder blant annet en detaljert beskrivelse av hvilken informasjon som behandles i systemene, samt en del nøkkelinformasjon om systemene. Detaljene i denne oversikten er unntatt offentlighet(vedlegg B i fremlagte rapport). Begrunnelse for dette er at oversikten inneholder opplysninger som kan benyttes til å skade Bergen kommune dersom de kommer uvedkommende i hende. I denne klassifiseringen er informasjonssystemene plassert i kategorier fra "lav" til "kritisk". Kategoriene har følgende definisjoner, som er basert på kjente standarder innenfor området. Klasse/Område Tilgjengelighet Konfidensialitet Integritet Kritisk Systemet understøtter funksjoner og tjenester som er tidskritisk for kommunen i en krisesituasjon. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunen i en krisesituasjon. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunen i en krisesituasjon. Høy Systemet understøtter funksjoner og tjenester som er tidskritisk for kommunens daglige drift. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunens daglige drift. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunens daglig drift. Middels Systemet understøtter funksjoner og tjenester som er viktig for kommunen, men ikke tidskritisk. systemet vil kunne skade kommunens funksjoner og tjenester i daglig drift. systemet vil kunne skade kommunens funksjoner og tjenester i daglig drift. 4

5 Lav Systemet understøtter ikke funksjoner eller tjenester som er tidskritiske for kommunens daglige drift. systemet vil ikke påvirke kommunens funksjoner og tjenester i daglig drift. systemet vil ikke påvirke kommunens funksjoner og tjenester i daglig drift. Krisesituasjon En alvorlig situasjon eller hendelse som avviker fra de som kan betraktes som normalt. Daglig drift Tjenester og funksjoner som kommunen normalt utøver Tidskritiske Hendelsen får umiddelbar negativ effekt for liv, helse, økonomi, effektivitet osv. Konfidensialitet At informasjon bare behandles av de som har behov for den, og at utilsiktet innsyn i informasjon unngås. Integritet At informasjonens innhold er korrekt. Tilgjengelighet At informasjonen er tilgjengelig når det er behov for den. Oppsummert har prosjektet utviklet en oversikt over de informasjonssystemene gruppert pr. byrådsavdeling, klassifisert innenfor de kategorier som beskrevet i ovenstående tabell. Som vist nedenfor er det avdekket at 10 informasjonssystemer er klassifisert som «kritisk». Dersom informasjonen i disse systemene blir utilgjengelig, eksponert for uvedkommende eller har feil kvalitet, kan det føre til at de virksomhets- og samfunnskritiske tjenestene ikke kan produseres eller produseres med tilstrekkelig kvalitet. Det er først og fremst i forhold til disse systemene klassifiseringsprosjektet foreslår å sette inn tiltak. I forhold til systemer som er klassifisert som høy, middels og lav ansees etablert driftsnivå som tilstrekkelig. BLED BBKM BFEE BBS BHO BSBO BKNIK Bystyrets organer Kritisk Høy Middels Lav Kun informasjonssystemer klassifisert til "kritisk" er verdivurdert, det kan derfor være forskyvninger mellom de andre kategoriene. 4. Hva klassifiseringen innebærer. Tiltak Klassifiseringsprosjektet har bl.a. avdekket at kommunen ikke i tilstrekkelig grad har etablert et driftsregime som kan håndtere de kravene som bør stilles til informasjonssystemer som understøtter virksomhets- og samfunnskritiske tjenester. Dersom en hendelse fører til bortfall eller feil i informasjonsgrunnlaget til et informasjonssystem, vil dette få umiddelbare og store konsekvenser for kommunen ved at tjenesteleveranser blir betydelig forringet eller står i fare for å stanse opp. Dette kan føre til alvorlige økonomiske konsekvenser, lovbrudd, materielle skader og i ytterste konsekvens fare for liv og helse blant innbyggerne og/eller ansatte. Bergen kommune ble rammet av et tjenestenektangrep høsten 2014, som rammet hele IKT-infrastrukturen og Bergen kommune var uten IKT-tjenester en hel dag. I vår digitale tidsalder må en kommune som Bergen forvente cyberangrep (organiserte hacker-angrep) av både mer sofistikert karakter og med mer alvorlig virkning enn det som har vært observert til nå (jf. NSM, PST og e-tjenestens risikovurderinger). Kommunens regime for drift av IKT-infrastruktur og systemer er i dag tilpasset driftsnivåer i daglig bruk. Gjennom klassifiseringsarbeidet har det blitt klart at det over tid har eksistert et udekket behov for sikring av informasjonssystemene som er klassifisert som "kritisk". Konkret foreslås det at følgende tiltak settes i verk for å etablere et tilfredsstillende sikkerhetsregime for de mest kritiske informasjonssystemer i Bergen kommune: 1. Alternativ driftsløsning skal utredes for informasjonssystemer hvor risiko er kritisk. 5

6 2. Beredskapsplaner skal etableres for informasjonssystemer som er klassifisert som kritisk og bør vurderes for informasjonssystemer som er klassifisert som høy, eller byråden for finans på annet grunnlag anser dette som nødvendig. 3. Beredskap på IKT-området skal integreres med kommunens øvrige beredskapsarbeid. 4. Berørte byråder får ansvar for å beslutte en grunnleggende prioritering av gjeninnføring/oppretting av kritiske informasjonssystemer i tilfeller hvor to eller flere systemer er involvert i en hendelse. 5. Økonomiske og administrative konsekvenser av foreslåtte vedtak Skal Bergen kommune sikre et driftsregime som kan håndtere de kravene som bør stilles til informasjonssystemer som understøtter virksomhets- og samfunnskritiske tjenester, må det etableres tiltak som bl.a. å få utredet alternative driftsløsninger. Resultatet av denne utredning vil utløse behov for nye investeringer og påfølgende driftskostnader. Størrelsen på disse kostnadene vil avhenge av hvilke løsninger som velges, og vil først være klar når utredningsarbeidet er gjennomført og strategi for alternative driftsløsninger er valgt. Som ledd i arbeidet med å velge løsning må det gjøres kost- /nyttevurderinger. Det anbefales at investerings- og driftsbehovet behandles gjennom de ordinære budsjett- og økonomiplanprosessene. Øvrige tiltak (2-4) håndteres i utgangspunktet innenfor eksisterende rammer. 6