Oslo Innledning

Like dokumenter
IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

Geir Magnus Walderhaug NA Region øst Frokostmøte 6. mars 2018

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Til Justis- og beredskapsdepartementet. 22. mars 2019

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

NOU 2015: 13. Digital sårbarhet sikkert samfunn

Høring NOU 2016:19 Samhandling for sikkerhet

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

NASJONAL SIKKERHETSMYNDIGHET

Anbefalinger om åpenhet rundt IKT-hendelser

Regelrådets uttalelse. Om: Høring forskrifter til ny sikkerhetslov Ansvarlig: Forsvarsdepartementet

SaLTo-rutiner. oppfølging av personer som kan bli rekruttert til, eller som har deltatt i, konflikter eller kamphandlinger i privat regi i utlandet

Statlig tilsyn med kvalitet og sikkerhet i helsetjenesten

Regjeringens strategi for bekjempelse av hvitvasking, finansiering av terror og finansiering av spredning av masseødeleggelsesvåpen

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Informasjonssikkerhet. Leif Skiftenes Flak Professor, instituttleder IS Universitetet i Agder

Studieplan 2017/2018. PERSONVERN en grunnopplæring i personvernregelverk (2017) Studiepoeng: 15. Studiets nivå og organisering. Bakgrunn for studiet

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Enkelt å være seriøs Vanskelig å være useriøs

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Tillegg til tildelingsbrev nr 4 - Informasjonssikkerhet ved bruk av private leverandører

Navn på studieprogram (E): Personvern en grunnopplæring i personvernregelverk. Antall studiepoeng: 15 Heltid eller deltid, ev begge deler: Deltid

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

Notat. Til Dato Saksnr. Nærings- og fiskeridepartementet / Direktorat for e-helse Mona Holsve Ofigsbø Christine Bergland

DET DIGITALE TRUSSEL- OG RISIKOBILDET

Verktøy for tillitsvalgte. Varslerveileder

Risikostyring på nasjonalt nivå

Digitalt sårbare elever. Fredrik Manne Institutt for informatikk, Universitetet i Bergen

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Helse- og omsorgssjef i Namsos. Ny lov om krisesenter (krisesenterloven) - tilpasning til lovens krav

Oppfølging av informasjonssikkerheten i UH-sektoren

NOU 2015: 13 Lysne-utvalgets anbefalinger til redusert digital sårbarhet i vannforsyningen

Strategi for Informasjonssikkerhet

Tilsyn med etterlevelse av personvernforordningen

Erfaringer fra terroranslaget 22. juli

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Deres ref Vår ref Dato

Riksrevisjonens undersøkelse av myndighetenes innsats mot arbeidsmiljøkriminalitet. Dokument 3:15 ( )

Hva sammenlikner vi med? Historien Mulighetene Forventningene

Oppdraget. Leveranse 1 Oversikt over utvalgte statlige digitaliseringsinitiativ som påvirker kommunene (pilottest).

Revisjon av IT-sikkerhetshåndboka

TRUSLER, TRENDER OG FAKTISKE HENDELSER

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Statssekretær Inger-Anne Ravlum, Fornyings-, administrasjons- og kirkedepartementet Europapolitisk forum 27. mai 2011

Strategisk retning Det nye landskapet

Høringsinnspill fra Abelia: Meld. St. 38 IKT-sikkerhet - et felles ansvar

Regelverksutvikling i DSB

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Sosial Dumping. Hva betyr det for arbeidslivet på Vestlandet? Borghild Lekve, regiondirektør Arbeidstilsynet Vestlandet

Personvern - sjekkliste for databehandleravtale

Veikart Standardiseringsrådet

Vår referanse (bes oppgitt ved svar)

Tilsyn - BARNEVERNSTJENESTER

Sikkerhet innen kraftforsyningen

Nasjonal kompetansepolitisk strategi

2H Årsmelding fra UNIO-studentene

Januar Handlingsprogram og strategisk program

Riksrevisjonens undersøkelser av arbeidsmiljøkriminalitet og sosial dumping i offentlige anskaffelser. Avdelingsdirektør Anne Fikkan

Nytt fra DSB. Siri Hagehaugen avdelingsleder. 15. mars 2017

EUs personvernforordning og norsk personopplysningsrett

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017

Tilsynsstrategi Direktoratet for samfunnssikkerhet og beredskap (DSB)

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Et system for superbrukerne? Det norske systemet for tilgjengelighet til IKT på arbeidsplassen i komparativt perspektiv.

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

Strategi for Norm for informasjonssikkerhet og personvern i helse- og omsorgstjenesten

20. september 2011, Sikkerhetskonferansen (NSR) John G. Bernander, administrerende direktør, NHO:

Standard Norge som arena for å møte sikkerhetsutfordringene

BARNEOMBUDETS. STRATEGI

JUSTIS- OG BEREDSKAPSDEPARTEMENTET. Oppdragsbrev Tilsynsrådet for advokatvirksomhet

Karriereveiledning for voksne - den norske modellen

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

Nasjonal CBRNEstrategi

Varsling- veileder for deg som ønsker å varsle

Virksomhetsstrategi Justis- og beredskapsdepartementet

Hvordan beskytte seg mot en ny og fremvoksende trussel

NOKUTs strategier Strategi for utvikling av NOKUT

Informasjonssikkerhet og digitalisering

NÆRINGSLIVSKONTAKTEN i Nordland politidistrikt

Varsling - status. Akademiker-foreningenes felles tillitsvalgtkurs januar 2018

Notat om lover og avtaler informatikere bør kjenne

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Høring om utkast til ny lov om behandling av opplysninger i kredittopplysningsvirksomhet

Kjetil Tveitan. Underdirektør, Folkehelseavdelingen. Norsk Vanns årskonferanse Kristiansand 1. september 2015

Vår saksbehandler: Kopi til Vår dato Vår referanse Deres referanse Vigdis Olsen /TFS

Vest-Agder fylkeskommune

Kommunens Internkontroll

NORID - Registrarseminar 26. april 2017

Punkter i nasjonal kompetansepolitisk strategi. Spekters rapportering på oppfølging av strategien.

HØRING - VEILEDNING TIL ARBEIDSMILJØLOVENS 3-5, ARBEIDSGIVERS PLIKT TIL Å GJENNOMGÅ OPPLÆRING I HELSE-, MILJØ- OG SIKKERHETSARBEID

Tidlig intervensjonssatsingen «Fra bekymring til handling»

Transkript:

Oslo 28.02.2018 Innledning Unio er i startfasen for utforming av en fremtidig politikk for økt IKT-sikkerhet. Politikken vil først og fremst rettes inn mot Unios 13 medlemsforbund, deres profesjoner og sektorer. Arbeidet er i en kunnskapsinnsamlingsfase og noen av svarene vil derfor være foreløpige og ufullstendige. Under noen av svarene har vi valgt å vise til konkrete tilbakemeldinger fra enkeltforbund. Unios forbund har gitt tilbakemelding på at det er behov for: økt kunnskap og kompetanse om hva som er trusselbildet felles arenaer hvor fagforbund og hovedorganisasjoner involveres i samfunnets totale IKT-sikkerhetsarbeid identifikasjon av hvilken rolle arbeidstaker siden kan og bør ha i dette arbeidet forpliktende og tett trepartssamarbeid langt bedre koordinering av IKT-sikkerhetsarbeidet, mindre sektortenkning at «ressursene finner hverandre» involvering og bevisstgjøring av tillitsvalgte og arbeidstakere 1. Hvilke lover og forskrifter som stiller krav til IKT-sikkerhet kjenner du til at din virksomhet må forholde seg til? Norsk Sykepleierforbund påpeker at de viktigste kravene de per i dag må forholde seg til er i personopplysningsloven med forskrifter. Denne vil fra og med mai 2018 bli avløst av personvernforordningen og en ny nasjonal lovgivning. Det norske maskinistforbund trekker i tillegg frem lov om elektronisk signatur, lov om opphavsrett til åndsverk, lov om behandlingsmåter i forvaltningssaker og lov om arkiv. 2. Kjenner du til andre krav eller retningslinjer til IKT-sikkerhet som din virksomhet må forholde seg til? Utdyp gjerne svaret. Norsk Sykepleierforbund henviser til at de har brukt ISO/IEC 27001 som bakgrunn for utforming av egne internkontrollprosedyrer. Akademikerforbundet viser til krav og retningslinjer fra Datatilsynet, f.eks. sikkerhet knyttet til pålogging i bl.a. medlemsregister, i og med at det å være fagorganisert er å anse som fortrolig og sensibel informasjon 3. Hva er din virksomhets vurdering av dagens regelverk innenfor IKT-sikkerhet? Oppleves regelverket for eksempel harmonisert, anvendelig, hensiktsmessig og forståelig? Utdyp gjerne svaret. Norsk Sykepleierforbund legger til grunn til personvernlovgivningen angir fornuftige krav til IKTsikkerhet og er forståelig. Det er ikke regelverket som er utfordrende med hensyn til IKT-sikkerhet, men det digitale trusselbildet i kombinasjon med at vi må få samtlige ansatte, tillitsvalgte og andre som opptrer på vegne av organisasjonen til å ta sikkerhet. Det norske maskinistforbund mener at dagens regelverk er for svakt og ikke er handlekraftig. Andre mener at det fungerer greit for dem.

4. Mener din virksomhet at det er områder i samfunnet hvor dagens regelverk innenfor IKTsikkerhet er utilstrekkelig? I så fall, hvilke områder og hvorfor? Forbundene våre har enten ingen kommentar eller peker at det muligens foreligger behov innenfor helse, barnevern og NAV. I tillegg trekkes det fra Det norske maskinistforbund frem at skandalen rundt Helse Sør-Øst tyder på svakheter. De trekker også frem sosiale medier som et usikkerhetsmoment. 5. Mener din virksomhet at dagens regelverk er hensiktsmessig med tanke på at IKT-sikkerhet går på tvers av sektorer og/eller landegrenser? Utdyp gjerne svaret. Norsk Sykepleierforbund mener at regelverket er hensiktsmessig innenfor EU, men skulle gjerne sett at flere land adopterte EUs lovgivning. Akademikerforbundet mener at dagens regelverk fungerer hensiktsmessig. Samtidig påpekes det at det kan være utfordringer for andre som jobber tverrsektorielt og internasjonalt. Det norske maskinistforbund oppfatter dette ikke som krevende, da de opererer etter egne regelverk hvor ingen data skal gå utenfor EU. 6. Mener din virksomhet at det er behov for en ny tverrsektoriell IKT-sikkerhetslov som stiller minimumskrav til IKT-sikkerhet i samfunnet? Eventuelt hvorfor og hva skal en slik lov omfatte? Svarene fra forbundene varierer. Enkelte mener at det ikke er behov for ytterligere lovgivning. Disse viser til at problemet ikke er lovgivningen, men mer opprettholdelse av god nok kompetanse til å håndtere det digitale trusselbildet. Andre mener at det er behov for en slik felles lov. 7. Mener din virksomhet at myndighetenes organisering er hensiktsmessig med tanke på at IKTsikkerhet går på tvers av sektorer og/eller landegrenser? Utdyp gjerne svaret. Norsk Sykepleierforbund etterlyser noe mer samarbeid innenfor bransjer/sektorer, og at initiativet til dette kom fra sentralt hold. Informasjon om trusselbildet og tiltak for å bedre IKT-sikkerheten er i dag veldig basert på relasjoner mellom personell knyttet til IKT-sikkerhet. Akademikerforbundet mener at det kan være hensiktsmessig å supplere de eksisterende instanser med et nasjonalt koordinerende ledd, som også har samarbeid internasjonalt 8. Hvordan opplever din virksomhet samarbeid og koordinering innenfor IKT-sikkerhet a. mellom myndighetsorganer med ansvar for IKT-sikkerhet? Noen av de forbundene som har svart mener enten de ikke har ikke grunnlag for å vurdere dette eller at spørsmålet ikke er relevant for dem. Det norske maskinistforbund er mer dystopiske og mener at myndighetene er svært svake både på å samarbeide på tvers og med andre aktører. b. mellom myndighetene og private aktører? Norsk Sykepleierforbund uttaler at de gjerne skulle ha hatt mulighet til å koble oss på samarbeidet knyttet til nasjonal sikkerhetsmyndighet, slik at man kunne fått bistand til å forebygge og håndtere eventuelle IKT-sikkerhetshendelser. Andre forbund oppfatter ikke spørsmålet som relevant for dem. Det norske maskinistforbund mener at myndighetene er svært svake på å samarbeide. 9. Hvordan mener din virksomhet at myndighetene kan forbedre samarbeid og koordinering innenfor IKT-sikkerhet? Enkelte forbund etterlyser bedre koordinering av veiledningsmateriell, vurderinger av trusselbildet og varsler om spesifikke trusler. Andre viser igjen til at det kan være hensiktsmessig å supplere de eksisterende instanser med et nasjonalt koordinerende ledd, som også har samarbeid internasjonalt. Å etablere forpliktende samarbeid gjennom et trepartssamarbeid pekes på som nødvendig.

10. Mener din virksomhet at det er behov for organisatoriske endringer på myndighetsnivå for å møte dagens og de fremtidige IKT-sikkerhetsutfordringene? Utdyp gjerne svaret. Forbundene som har svart henviser til svarene under punkt 8b eller mener at man må handle fremfor å utrede over tiår, med katastrofale innkjøp av IKT som ikke virker / er gått ut på dato. 11. Mener din virksomhet at det er områder innenfor IKT-sikkerhet som mangler myndighetsansvar? Utdyp gjerne svaret. Forbundene som har svart henviser til svar skissert under punkt 8b, uttaler at de ikke vet eller mener at det skjer mye prat fremfor handling. 12. Hvordan mener din virksomhet at IKT-sikkerheten i samfunnet kan styrkes gjennom offentligprivat samarbeid? Norsk Sykepleierforbund viser til at det bør være mulig å få til et tettere samarbeid knyttet til trusselbildet, varsel om sårbarheter og behov for patching av løsninger, samt bistand ved eventuelle hendelser. Akademikerforbundet mener at IKT-sikkerheten kan styrkes gjennom offentlig privat samarbeid, f.eks. må leverandører av internett og brukere av systemer ha en felles forståelse av utfordringsbildet og være enige om tiltak som bedrer sikkerheten. Det dreier seg om systemets stabilitet samt også sikring mot f.eks. hacker-, virus- og terrorangrep. Kompetanseheving er påkrevet. 13. Får din virksomhet i dag dekket behovet for råd og veiledning innenfor IKT-sikkerhet? Hvem er de viktigste råd- og veiledningsaktørene? Enkelte større forbund viser til at de i dag bruker uformelle nettverk og leverandører av sikkerhetsprogramvare. Behovet for råd og veiledning er veldig personavhengig og vil være sårbart ved utskifting av nøkkelpersonell. De viser også til at det finnes gode veiledere knyttet til interkontroll hos DIFI og datatilsynet. Mindre medlemsforbund uttaler at de per i dag ikke mottar råd da de aldri har fått tilbud om dette, men holder seg oppdatert på eget initiativ. Da benytter de ulike eksperter/leverandører i forbindelse med drift av hjemmeside, medlemsregister, datapark, saksbehandlersystem og arkiv. 14. Hvordan vurderer din virksomhet kompetansesituasjonen i samfunnet på IKTsikkerhetsområdet? Norsk Sykepleierforbund mener at det er for lite fokus og kompetanse knyttet til sikkerhet hos de fleste leverandører av IT-systemer. Dette fører til at det i stor grad er de selv som må sikre at krav til sikkerhet blir ivaretatt ved utvikling av løsninger, samt sørge for at løsningene blir forsvarlig patchet. Det er også for få som har god nok kompetanse på sikkerhet mellom skytjenester og egne driftede systemer. Her er den enkelte virksomhet i stor grad overlatt til seg selv og må definere både nivå og krav til integrasjonene. Andre forbund henviser til utfordringene i Helse Sør-Øst som tegn på kompetansesituasjonen virker svært varierende. Enkelte forbund beskriver kompetansesituasjonen som elendig. 15. Mener din virksomhet at dagens lover og forskrifter gir tilstrekkelig grunnlag for å ivareta IKTsikkerhet ved tjenesteutsetting? Utdyp gjerne svaret. Norsk Sykepleierforbund mener at regelverket er for så vidt tilstrekkelig, men at det trengs bedre veiledninger med hensyn til «best practise» for integrasjoner, standardavtaler og muligens også godkjenning/sertifisering av ulike tilbydere. Det bør jobbes kontinuerlig med dette, da det stadig utvikles nye løsninger og samarbeidsplattformer. Det gjelder å forsøke å forutse fremtidige «hull» og sårbarhetsområder. Norsk maskinistforbund er klare på at stortingsmeldingen om IKT-sikkerhet som behandles i Stortinget må følges opp med handling, midler og tiltak.

16. Hvilke erfaringer har din virksomhet med IKT-sikkerhetstilsyn, som tilsynsobjekt eller som tilsynsmyndighet? De forbundene som har svart enten ingen eller liten erfaring. Norsk Sykepleierforbund har kun fått noe veiledning fra Datatilsynet knyttet til konkrete problemstillinger og hendelser. Veiledning fra tilsynet ble i denne anledning opplevd som god. 17. Hvilke tiltak mener din virksomhet er de viktigste for å forbedre IKT-sikkerheten i samfunnet? Samarbeid om overvåkning, varsling og håndtering av eventuelle hendelser. Samarbeid om overvåkning, varsling og håndtering av eventuelle hendelser og sentrale samarbeidsprosjekter blant miljøer med spisskompetanse trekkes frem. Økt behov for kompetanse fremfor partipolitisk spill og at sikkerhet blir brukt som en salderingspost blir etterlyst. 18. Kjenner dere til land som har organisert og regulert IKT-sikkerhet på en hensiktsmessig måte som utvalget bør se nærmere på? Utdyp gjerne svaret. Ingen forbund kjenner til dette. Oppsummering og avsluttende kommentarer Ut fra dialog med medlemsforbund oppsummerer Unio at debatten om IKT-sikkerhet i Norge i for stor grad foregår på toppene i ulike i offentlige etater, teknologi-miljøer og næringsliv. Mye tyder på at myndighetenes organisering av sikkerhets- og beredskapsarbeidet og oppfølgingen av Gjørvkommisjonens anbefalinger har vært svak og i liten grad har bidratt til at ressursene finner hverandre. Det er behov for bedre koordinering, etablering av en felles forståelse av trusselbildet, mindre silo-tenkning og betydelig kompetanseheving innenfor de ulike sektorene og samlet. Fagprofesjonene som Unio representerer blir i liten involvert i samfunnets totale IKTsikkerhetsarbeid på «sine» sektorer eller på tvers av sektorer. Unio mener at det er et særlig behov tverrsektoriell kompetanse og samarbeid i sikkerhetsarbeid. Norge er blant de landene hvor ny teknologi tas raskest i bruk, men uten at sikkerhetstenkningen rundt denne økte bruken holder tritt. Det digitale sårbarhetsutvalgets utredning viste at vi er et av de landene der endringen i risiko- og sårbarhetsbildet derfor har kommet lengst. Etterspørselen etter personer med avansert IT-sikkerhetskompetanse er større enn dagens tilbud av personer som besitter denne kompetansen. Behovet for kvalifisert arbeidskraft har de siste årene vært langt større enn tilgangen på kandidater til viktige jobber innen IT-sikkerhet. NSM konkluderer i egen rapport at det er særlig to utfordringer når det gjelder datasikkerhet; kunnskapen omkring ITsikkerhet i Norge er liten, samtidig som sikkerhetsproblematikken ikke har nok fokus fra toppledelsen i private og offentlige virksomheter. Unio mener at Universiteter og høyskoler bør innrette tilbudet slik at IKT-sikkerhet blir en del av profesjonsutdanningene og annen utdanning utenfor teknologifeltet. Justis- og beredskapsdepartementet nedsatte i 2016 et utvalg for å se på funksjon og kapasitet blant politiets særorganer. Utvalget omtaler bekjempelse av IKT-kriminalitet som en hovedutfordring for politiet. Utvalget overleverte sin utredning til Justis- og beredskapsdepartementet i mai 2017, og utredningen er sendt på høring. Etablering et eget senter for cybercrime underlagt politiet svarer på

sett og vis på deler av det behovet som våre forbund etterlyser når det gjelder samlede og nasjonale kompetansemiljø. Unio mener at det bør vurderes å etablere tverrsektorielle sentra som involverer arbeidslivet og sivilsamfunnet som ledd i forebyggende tenkning Liz Helgesen seniorrådgiver André Oktay Dahl seniorrådgiver

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding