Kommunal- og moderniseringsdepartementet Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter Avdelingsdirektør Katarina de Brisis Difis høstkonferanse om informasjonssikkerhet, 24. oktober 2017
Sikkerhet og tillit er en forutsetning for å lykkes med digitaliseringen av offentlig sektor Økt digitalisering i offentlig sektor betyr samtidig at fokuset på IKT-sikkerhet blir viktigere. Økt digital samhandling i forvaltningen krever en felles tilnærming til IKT-sikkerhet. Risikovurderinger og bevissthet om akseptabel risiko bør alltid ligge til grunn for arbeidet. IKT-sikkerhet må være innebygget i alle offentlige IKT-systemer, og ikke legges til utenpå.
De digitale sikkerhetsutfordringene er godt dokumentert
Samfunnets avhengighet av digitale løsninger og digital infrastruktur har økt og vil øke ytterligere Rapportene viser at flere IKT-infrastrukturer, og digitale tjenester, har blitt (samfunns)kritiske: - Telenors kjernenett - Digitale verdikjeder (eks. finans) - Felleskomponenter i offentlig sektor - Tingenes internett (IoT) - Fagsystemer i flere offentlige etater
Hastigheten i kappløpet øker - Stordata (Big Data) - Kunstig intelligens (AI) - Blockchain (blokkjede)
Er vi godt nok skodd? Store ressurser brukes i dag på å beskytte samfunnskritisk infrastruktur. Kompleksitet og dårlig sikkerhetskultur kan likevel føre til at infrastruktur, og digitale tjenester, blir satt ut av spill som følge av - Menneskelige feil - Rutinesvikt - Sabotasje, terror - Utro tjenere
Mange eksempler på uheldige hendelser
Status i statsforvaltningen per 1. halvår 2017 - Arbeidet med informasjonssikkerhet har høy prioritet i alle sektorer. - Målrettet arbeid med å profesjonalisere og modernisere arbeidet med informasjonssikkerheten. - Sektorenes, og virksomhetenes, modenhet varierer. - ROS-analyser på IKT-området møter en utfordring innen virksomhetenes tilgang på intern kunnskap og kompetanse for å kunne gjennomføre slike.
Departementene har ansvar for å følge opp arbeidet med infosikkerhet i egen sektor. Etatsstyrer skal - Ha oversikt over hvilke verdier sektoren forvalter. - Legge til rette for at underlagte virksomheter har god risikoforståelse, og kan arbeide systematisk med risikovurderinger. - Se til at samfunnskritiske IKT-infrastrukturer og - tjenester i sektoren blir beskyttet iht. gjeldende krav. - Etterspørre hvordan informasjonssikkerhetsarbeidet følges opp internt i virksomheten (jf. eforvaltningsforskriften 15).
Mer bevissthet omkring infosikkerhet i etatsstyringsdialogen Etatsstyrer må sørge for at - Informasjonssikkerhet er et eget tema i etatsstyringsdialogen. - Virksomhetene etterspør, og foretar, sikkerhetsmessige risikovurderinger ved IKT-anskaffelser, og ved utvikling av nye digitale tjenester. - Informasjonssikkerhet er et eget tema i årsrapporten.
Temaer for etatsstyringsdialogen Styring og internkontroll på informasjonssikkerhetsområdet Tilstrekkelig kompetanse, dybde og bredde IKT-drift (RoS-analyser, beredskapsplaner, øvelser) IKT-anskaffelser (sourcingstrategi, god kontraktstyring) Utviklingsprosjekter (risiko og vesentlighet) innebygget sikkerhet som en del av arkitekturen for løsningen
Hvor kan etatsstyrerne få bistand til å øke sin IKT-sikkerhetskompetanse? Flere statlige fagmiljøer tilbyr råd, veiledning, og møteplasser, f.eks.: - Difi - En styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen - NSM - Oppfølging av stats- og samfunnssikkerheten - Datatilsynet - Hvordan farene for krenkelse av personvernet kan unngås eller begrenses.
Kommunal- og moderniseringsdepartementet