Prototyp: Systemsä kerhetsänälys, lä rplättor i skolän Protokoll fo r kräv och klässificering 1

Transkript

1 Ett fiktivt eempel med förslag att använda som diskussionsunderlag Prototyp: Systemsä kerhetsänälys, lä rplättor i skolän Protokoll fo r kräv och klässificering 1 Detta dokument är ett fiktivt eempel och en prototyp på hur en genomförd systemsäkerhetsanalys (informationssäkerhetsanalys) inklusive risk- och sårbarhetsanalys av användningarna av lärplattor i skolorna i en kommun skulle kunna formuleras. Risk- och sårbarhetsanalysen är också en del av det arbete som krävs gällande bedömning inför hantering av personuppgifter (PuL-bedömning). Till vissa avsnitt finns gråa kommentarsrutor med förklarande teter. Använd den tomma mallen för att fylla i de förutsättningar och bedömningar som gäller för just er verksamhet. Kommuner som har egna modeller och mallar för systemsäkerhetsanalyser bör givetvis använda dem. I eemplet tar vi del av den workshop företrädare för verksamhet, it-avdelning och juridisk enhet i den fiktiva kommunen Mittköping genomför. Bakgrundsinformation och mer vägledning finns i det stöd SKL har tagit fram när det gäller hantering av lärplattor i skola och förskola 2 VIKTIGT! Materialet är en prototyp och ett diskussionsunderlag för kommuner och huvudmän att använda för att göra sin egen juridiska bedömning och informationssäkerhetsklassning. SKL har valt att publicera det som en prototyp för att sedan revidera och komplettera materialet bland annat baserat på synpunkter från de som använder materialet och tar därför gärna emot förslag på förändringar och förbättringar. 1 Mallen är hämtad från Västerås stads modell för genomförande av verksamhetsanalys, informationsklassificering och risk- och sårbarhetsanalys och modifierad i samband med Mittköpings kommuns användande av mallen. 2

2 Informationstillgång; IT-system Infrastrukturobjekt Tjänst (SAAS) Namn: Leverantör Lime, fokus produkten SmartPads (ja, fiktiva namn) Datum: Upprättat: Dokumentet senast reviderat: Säkerhetsprofil efter genomförd systemsäkerhetsanalys: Säkerhetsaspekt Riktighet: Konfidentialitet: Tillgänglighet: Spårbarhet: Beslutad nivå: Nivå 0-4 där 0 är lägst nivå, där incident medför ingen eller försumbar påverkan på verksamheten. Observera att nivåerna är ändrade jämfört med SKL:s vägledning för användning av molntjänster i skolan. Nivåerna följer senaste versionen av SKL:s verktyg för informationssäkerhetsklassning, KLASSA 3 3

3 1. Om Systemsäkerhetsanalys (SSA) SSA består av fyra steg: Start: Beskriv informationstillgången Del 1: Klassificera informationen Del 2: Hot- och riskanalys Del 3: Fastställ åtgärder Att göra en systemsäkerhetsanalys innebär att tydliggöra vilken information som finns i systemet, allt från personuppgifter till fritetskrivande, och vilka krav verksamheten har på informationen. Under mötet, som Mittköpings informationssäkerhetsansvarig leder tillsammans med projektledaren, går man igenom vilken information som kommer att finnas i tjänsten, vilka lagrum man har att förhålla sig till och hur viktigt det är för verksamheten att informationen kan garanteras utifrån följande fyra perspektiv: Riktighet, Konfidentialitet, Spårbarhet och Tillgänglighet. Det handlar alltså om att genom informationssäkerhetsklassificeringen avgöra vilken nivå av säkerhet informationen behöver ha. Varje kategori, riktighet, konfidentialitet, spårbarhet och tillgänglighet, bedöms separat. Klassificeringen resulterar i olika krav på ittjänsten när det gäller inloggning och behörighetsstyrning med mera. 2. Start: Beskrivning av informationstillgången 2.1 Deltagare vid analystillfället - Ange namn, roll och kontaktinformation för varje person som deltar i analysen. Markerade med * är obligatoriska. Roll: Analysledare* Informationsägare Namn och kontaktinformation: Lisa Larsson, e-post: tel.nummer: Pelle Persson, rektor e-post: tel.nummer: Stina Svensson, ikt-pedagog e-post: tel.nummer: Ansvar vid SSA: Leda analysarbetet vid WS Kan delta vid mer verksamhetskritiska ITsystem

4 Objektägare* Informationssäkerhetsansvarig Objektledare* Objektledare IT Kalle Karlsson, pedagog e-post: tel.nummer: Josefin Johansson, e-post: tel.nummer: Magnus Martinsson e-post: tel.nummer: Ansvarar för att initiera SSA. Ska se till att säkerhetsprofilen blir beslutad av informationsägaren. Dokumenterar analysarbetet med hjälp av mallen. Ser till att åtgärderna förs vidare till förvaltningsplanen och att förändringsarbete initieras. Objektspecialist Jurist/PuL-biträde Hanna Hansson e-post: tel.nummer: Stöd och resonemang kring lagkrav. Ansvar för PuLbiträdesavtal 2.2 Beskriv informationstillgången - Ange namn på objektet, it-tjänsten eller infrastrukturobjektet. - Beskriv kort hur verksamheten använder sig av informationstillgången. (Uppgifter kan hämtas från förvaltningsdokumentationen.) - Beskriv även det it-stöd som informationstillgången är beroende av. (Vilken infrastruktur, integrationer, fakta om driftleverantör, osv.) - Stödjer objektet, eller delar av objektet, samhällskritisk verksamhet Användningen av lärplattor, tillgången till olika it-tjänster och hur t.e. användarkonton skapas och kopplas till lärplattorna, hur appar hanteras och köps in ser olika ut i kommunerna. Vi påminner igen om att det här är en prototyp och att beskrivningen nedan givetvis behöver anpassas efter era förutsättningar. Användning av Lime och SmartPads i Mittköpings skolor Mittköpings skolor och förskolor använder en mängd olika digitala enheter och tjänster, varav några från leverantören Lime. Syftet med användningen av Lime och just SmartPads är att förenkla, effektivisera och tillgängliggöra undervisningsmaterial och omvärldsinformation, underlätta delning av information mellan pedagoger och elever.

5 SmartPads är elevens arbetsverktyg och används dagligen för att arbeta med olika pedagogiska appar, för att skriva, dokumentera, producera och för att ha tillgång till Mittköpings andra it-tjänster för kommunikation och samarbete. Flera skolor har SmartPads 1:1 (en SmartPad per elev). I förskolan finns SmartPads tillgängliga 1:3 (1 SmartPad per 3 barn). Via skolornas SmartPads får eleverna tillgång till olika appar och de anvisade it-tjänster skolan använder, där t.e. pedagogiskt material kopplat till det formativa arbetssättet finns och där formativ bedömning är en viktig del. Dokumentation och fördjupad information om elevers prestationer, pedagogers omdömen (summativa bedömningar) eller känsliga personuppgifter hanteras inte i enheternas SmartPads eller lagringsytan ilime. ilime, d.v.s. den molnbaserade lagringsytan som är kopplad till SmartPads och Lime-kontot får inte användas för informationsdelning/spridning. Detta ska ske i Mittköpings anvisade it-tjänster. På Mittköpings skolor används flera olika it-tjänster där några är till för myndighetsutövning och pedagogiska administration och några för pedagogiskt arbete. Sistnämnda tjänster är tillgängliga från SmartPads och även delar av tjänsterna för pedagogisk administration och det är här informationsdelning m.m. sker, inte via ilime. Mittköping har riktlinjer och rutiner framtagna för att tydliggöra vilka it-tjänster som används till vad. För att effektivt och säkert registrera, konfigurera, koppla till användarens konto o.s.v. använder Mittköping en MDM-lösning (Mobile Device Management). Hantering och eventuella inköp av appar sker via en VPP-lösning (Volume Purchase Program). På så vis säkerställs att andra leverantörers appar, som inte är anvisade av kommunen, inte har tillgång till de strukturerade personuppgifterna Lime behandlar. Varje skolområde har en ansvarig administratör med tillgång till MDM- och VPP-lösningarna. Strukturerade personuppgifter som behandlas är: namn, roll, skola, klass och användar-id. 2.3 Beskriv avgränsningar - Beskriv fysiska, juridiska, organisatoriska, tekniska och andra avgränsningar inom det aktuella objektet som är relevanta för att ringa in vad som ingår i eller faller utanför det område som ska klassificeras. - T.e. här analyseras inte att information som hämtas från angränsande system är verifierad, eller Endast delar som används för viss verksamhet eller information som förvaras på papper ska inte ingå. SmartPads och ilime används i det pedagogiska vardagliga arbetet. Här sker ingen informationsdelning, det sker via Mittköpings andra it-tjänster. Summativa bedömningar eller övrig integritetskänsliga uppgifter lagras vare sig lokalt i SmartPads eller i ilime. När arbeten eller prov görs, kan eleverna visserligen spara dem på sin SmartPad, men för att delas med pedagogen lagras de i Mittköpings it-tjänst för samarbete och kommunikation (MIH, DreamCloud), där också den formativa bedömningen sker. Mer summerande bedömning och utvecklingsplaner sker primärt i tjänsten Planera AB och betygen registreras i Administrera AB. Summan av myndighetsutövandet hanteras alltså i andra it-tjänster.

6 2.4 Särskilda uppgifter för system som innehåller personuppgifter Ändamål med behandlingen För att hålla reda på vilken SmartPad som tillhör vilken enhet och elev, vilka appar m.m. som ska installeras/avinstalleras osv. Kategorier/grupper av personer som berörs av behandlingen Elever och de av skolans personal som har en SmartPad Personuppgifter eller kategorier/grupper av personuppgifter som skall behandlas Namn, roll, skola, klass, användar-id. Känsliga personuppgifter eller kategorier/grupper av personuppgifter som skall behandlas Nej Åtgärder som har vidtagits för att trygga säkerheten i behandlingen Mittköping har tagit fram riktlinjer och rutiner för att tydliggöra vilken information som behandlas i vilken it-tjänst. Utbildningsinsatser genomförs för att öka användarnas kompetens i informationssäkerhet och i bedömning och hantering av integritetskänslig information. I riskbedömningen finns åtgärder för vad som ska göras om integritetskänslig information hamnar där den inte ska. Varje skola har rutiner för hur man ska agera utifrån olika incidenter när det gäller de it-tjänster och digitala verktyg som används. Kommer uppgifterna att överföras till tredje land? Ja Del 1: Klassificera informationen 3. Identifiera krav Här ska verksamheten identifiera vilka rättsliga krav som ställs på informationshanteringen och därefter vilka krav som följer av verksamhetens behov och prioriteringar. 3.1 Legala krav - Identifiera de krav i lagar eller andra författningar som måste uppfyllas och som är relevanta för informationssäkerheten. - Bedöm och markera om kravet är uppfyllt eller inte.

7 Lag, författning: Tryckfrihetsförordningen (TF) SFS 1976:954 Tillämpbar: (Ja/Nej) Ja Uppfylld: (Ja/Nej) Ja Kommentar: Offentlighets- och Sekretesslagen (OSL) SFS 2009:400 Arkivlagen SFS 1990:782 Personuppgiftslagen (PUL) SFS 1998:204 Lag om kommunal redovisning SFS 1997:614 Diskrimineringslagen Skollagen 1:8 Diskrimineringslagen, 1/1-15 bristande tillgänglighet Ja Ja Mötesanteckningar o.dyl. som förs lokalt på en SmartPad och sedan blir t.e. allmän handling hanteras enligt Mittköpings dokumenthanteringsplaner och sparas i annan it-tjänst. Ja Ja Inget som lagras i SmartPads/iLime behöver arkiveras enligt Mittköpings dokumenthanteringsplaner. Ja Ja Personuppgifter så som för- och efternamn hanteras, men inga sekretess- eller integritetskänsliga uppgifter Nej Bokföring, årsredovisningar sker på annat ställe Nej Nej Likvärdig utbildning, t.e. ska handlingsplan för elever som inte ska ha personlig tillgång till SmartPads finnas. Är inte relevant utifrån ett informationssäkerhetsperspektiv men verksamheten ska ha åtgärdsplan utifrån tänkbar bristande tillgänglighet. Upphovsrättslagen Nej Eleverna äger sina arbeten. Yttrandefrihetsgrundlagen, YGL Nej I kombination med skolans regler (överenskommelser för användning av SmartPads, nätetik, upphovsrätt etc.)

8 3.2 Verksamhetens krav I den här delen av diskussionen är det verksamhetens krav på informationen som ska diskuteras, d.v.s. hur viktigt det är för verksamheten att informationen kan garanteras utifrån dessa perspektiv: Riktighet: vikten av tillförlitlig, korrekt, fullständig information Konfidentialitet: vikten av åtkomstbegränsning, insynsskydd Spårbarhet: vikten av att kunna spåra olika händelser i systemen Tillgänglighet: vikten av tillgång till informationen inom önskad tid Riktighet - Beskriv vilka krav verksamheten har när det gäller informationens riktighet. - Riktighet: Att information inte kan förändras vare sig av obehöriga, av misstag eller på grund av funktionsstörning. Informationen ska vara tillförlitlig, korrekt och fullständig. Det är viktigt att rätt personer har rätt behörigheter, tillgång till rätt appar och att kontoinformationen är rätt. Informationen bör inte kunna förändras av obehöriga. Informationen i SmartPads tillhör kärnverksamheten, eftersom det handlar om den vardagliga pedagogiska lärprocessen och elevernas eget arbetsmaterial Konfidentialitet - Beskriv vilka krav verksamheten har när det gäller informationens konfidentialitet. - Konfidentialitet: Att innehållet i dokument, information och handlingar etc. inte görs tillgängliga eller avslöjas för obehöriga. Informationen har ingen sekretess, men verksamheten anser att det är viktigt med inloggning till SmartPads eftersom de dels innehåller elevens material, olika appar och är en väg till inloggning och användning av några av Mittköpings it-tjänster. Här finns material och data sparat i ilime och i olika appar, vilket i sig inte är känsligt eller sekretessbelagt, men inte heller relevant för obehöriga och bör inte göras tillgängligt. Varje SmartPad har en tvingande låskod och går att spärra om den blir stulen eller tappas bort.

9 3.2.3 Tillgänglighet - Beskriv vilka krav verksamheten har när det gäller informationens tillgänglighet. - Tillgänglighet: Att information och informationstillgångar kan utnyttjas efter behov, i förväntad utsträckning och inom önskad tid utifrån de krav som ställs på verksamheten. Informationen bör vara tillgänglig utöver vanliga arbetstid eftersom det handlar om skolarbete som ofta utförs såväl dagtid i skolan som på kvällar och helger Spårbarhet - Beskriv vilka krav verksamheten har när det gäller informationens spårbarhet. - Spårbarhet: Att, där det finns behov av det, i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt, det ska gå att se vem som har tagit del av informationen, vilka förändringar som har hänt och av vem dessa har utförts. Information som delas och material som det ges respons på sparas i it-tjänster som inte är beroende av just SmartPads. Därför har spårbarheten när det gäller SmartPads och ilime ringa betydelse. 3.3 Klassificeringsbeslut Efter kravanalysen kan nu informationstillgången klassificeras: Som stöd i resonemang och diskussion kan följande tabell användas. Tabellen är hämtad från SKL:s verktyg KLASSA (klassa-info.skl.se), ett verktyg som stöd i informationssäkerhetsklassning. Nivå 4 finns inte med här, eftersom det är en nivå som innebär skada för rikets säkerhet, vilket inte är fallet här. RIKTIGHET - att informationen ska vara tillförlitlig, korrekt och fullständig Nivå 0 Nivå 1 Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför ingen eller försumbar skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan

10 Nivå 2 Nivå 3 Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför allvarlig skada. Skapar stora svårigheter för verksamheten. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner vid egen eller annan myndighet påverkas sannolikt. Individers liv och hälsa äventyras. Konfidentialitet - att informationen kan åtkomstbegränsas Nivå 0 Nivå 1 Nivå 2 Röjande av informationen medför ingen eller försumbar skada. Inga svårigheter för verksamheten att nå målen. Ingen eller endast försumbar påverkan på samhällsviktiga funktioner vid egen eller annan organisation Röjande av informationen medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan Röjande av informationen medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Systemet innehåller arbetshandlingar eller allmänna handlingar som kan blir föremål för sekretess enligt OSL. Information avsedd för internt bruk eller känsliga personuppgifter enligt PUL.

11 Nivå 3 Röjande av information medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras Systemet innehåller information som är föremål för sekretess enligt OSL, känsliga personuppgifter, andra områdesspecifika lagrum eller tystnadsplikt. Tillgänglighet - att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Nivå 0 Ett avbrott medför ingen eller försumbar skada. Inga eller försumbara svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas inte eller i försumbar omfattning av otillgänglighet till systemet Nivå 1 Ett avbrott medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation Eterna individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet. Nivå 2 Ett avbrott medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner vid egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en betydande omfattning av otillgänglighet till systemet.

12 Nivå 3 Ett avbrott medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet Spårbarhet - att specifika aktiviteter som rör informationen kan spåras Nivå 0 Att spårbarhet saknas medför ingen eller försumbar skada. Inga eller försumbara svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Nivå 1 Att spårbarhet saknas medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Eterna individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Nivå 2 Nivå 3 Att spårbarhet saknas medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Att spårbarhet saknas medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras

13 Klassificering: Kravområde Konsekvensnivå: Motivering Riktighet Nivå 3, Allvarlig Nivå 2, Betydande Nivå 1, Måttlig Informationen tillhör kärnverksamheten eftersom det handlar om lärprocessen. Informationssystemet omfattas av lagrum (PuL etc.). Således medför det viss/måttlig skada. Nivå 0, Ingen eller försumbar Konfidentialitet Nivå 3, Allvarlig Nivå 2, Betydande Nivå 1, Måttlig Nivå 0, Ingen eller försumbar It-tjänsten innehåller inte information som kan bli föremål för sekretess, men skulle så ske, flyttas den över till annan it-tjänst. Tjänsten innehåller information för den egna eleven och dennes arbete. Inga känsliga uppgifter ska hanteras här, så skadan anses försumbar. Tillgänglighet Nivå 3, Allvarlig Nivå 2, Betydande Nivå 1, Måttlig Nivå 0, Ingen eller försumbar Informationen tillhör kärnverksamheten eftersom det handlar om lärprocessen och elevens arbete, så om det brister i tillgänglighet medför det viss skada. Verksamheten klarar sig dock med andra verktyg under en viss tid, så skadan anses ingen eller försumbar. Spårbarhet Nivå 3, Allvarlig Nivå 2, Betydande Spårbarheten anses försumbar eftersom det inte är kritisk eller känslig information som finns i tjänsten. Nivå 1, Måttlig Nivå 0, Ingen eller försumbar

14 Del 2: Hot- och riskanalys 4. Bedömning av hotrelaterade krav Riskanalys 4.1 Riskanalysens steg - Identifiera och beskriv minst tre hot mot informationstillgången. o Vad kan inträffa som negativt påverkar tillgångens Riktighet, Konfidentialitet, Tillgänglighet, eller Spårbarhet? - Beskriv konsekvensen om det inträffar o Vilken påverkan skulle det få? - Gör en sammanvägd riskbedömning 4.2 Beskrivning av risk- och hotbilder, inklusive konsekvenser och riskbedömning I tabellerna nedan görs en bedömning av sannolikhet och konsekvens för ett antal risker och hot som man tycker känns relevanta. De risker som finns med ska beaktas som eempel när det gäller just skolans användning av lärplattor med tillhörande molntjänst och med särskilt fokus på personuppgiftsbehandlingen. Risk- och sårbarhetsanalys är en del av arbetet med den PuL-bedömning som alltid ska göras inför användande av it-tjänster där personuppgifter hanteras. Tabellerna ska läsas med färgkoderna där grön färg innebär grönt ljus och rött är stoppsignal och innebär att risken är för stor för att kunna använda tjänsten. Om krysset hamnar på gult, måste risken hanteras på något sätt innan man kan gå vidare. Det kan göras genom att undersöka frågan närmare med leverantören eller att vidta åtgärder som t.e. information eller instruktion till användarna. Hotbild 1 Hotkälla: Beskrivning av händelseförlopp: Konsekvenser Felaktig behandling av personuppgifter Lime Leverantören visar sig använda och behandla personuppgifter för eget ändamål, trots avtal om annat. Kommunen kan anses bryta mot gällande lag, vilket kan leda till hävande av avtal och/eller byte av leverantör och därmed verksamhetsförlust och/eller ekonomisk förlust för kommunen. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke.

15 Konsekvens Allvarlig Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Ovanstående är en viktig punkt där nämnden känner stort ansvar. Om det skulle komma fram att leverantören använder information och personuppgifter för egna syften skulle det innebära lagbrott och risk för negativ påverkan för kommunens varumärke. Det skulle motivera att tjänsten sägs upp och det anses som en allvarlig konsekvens. I avtalet tycker man ändå att det tydligt finns beskrivet att det inte är tillåtet och att det inte kommer att ske, så man bedömer risken som mindre sannolik. Hotbild 2 Hotkälla: Beskrivning av händelseförlopp: Integritetskänslig information och/eller känsliga personuppgifter finns och läcker ut Användare av verktyget/tjänsten, eterna intressenter. Användare av ilime och Smartpad, hanterar (trots regler) integritetskänslig information och/eller känsliga personuppgifter 4. Obehörig kommer över informationen och den sprids. Ett annat händelseförlopp är elever som skrivit privata/personliga saker eller kränkande mot andra läcker ut, antingen för att obehöriga kommer åt den eller för att eleverna själva delar med sig av den. Konsekvenser För den drabbade kan konsekvenserna bli stora, beroende på karaktären på informationen. Interna (och eterna) diskussioner kring hur och vad man får skriva och i vilka av skolornas it-tjänster man skriver vad. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Ifrågasättande från såväl eterna håll (vårdnadshavare, journalister, datainspektionen etc.) och internt (skolledning, itavdelning, jurister, central förvaltning). Misstänksamhet mot digitala verktyg/nätet. Elevvårdsärenden. Ett arbete med förtydligande, utbildning och kontroll av informationen kommer behövas. Likabehandlingsplanen träder in. 4

16 Konsekvens Allvarlig Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Mittköpings analysgrupp bedömer att arbetet med att förankra och tydliggöra vilken information som får lagras här är så pass gediget och all personal och eleverna bör veta vad som gäller. Om det trots allt sker en felaktig användning av tjänsten, anser gruppen att det är av betydande konsekvens, eftersom det går i strid med personuppgiftslagen och användningen av tjänsten skulle ifrågasättas. Hotbild 3 Hotkälla: Beskrivning av händelseförlopp: Information och personuppgifter gallras inte Manuell hantering av kontoskapande. Avtal med leverantörer som tillhandahåller MDM-lösning och integration. Information och personuppgifter raderas inte efter att elever har slutat i verksamheten. Rutinerna vid manuell hantering av kontoskapande brister, den som ansvarar för kontona slutar, blir sjuk, glömmer, hinner inte etc. Konsekvenser Allvarlig Leverantören som ansvarar för MDM-lösningen kan inte leverera en integration som raderar konton enligt skolans krav alternativt något händer som gör att lösningen inte fungerar. Tjänsterna kan fortsätta att användas trots att eleven inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov. Konsekvens Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet

17 Här finns ett stort ansvar för såväl nämnd som enskild administratör. Dokumenthanteringsplaner och tydliga rutiner för hur man t.e. hanterar manuellt skapade konton och kontroll av integrationen kan det få betydande konsekvenser. Verksamheten måste säkerställa att åtgärder är tagna. Hotbild 4 Hotkälla: Beskrivning av händelseförlopp: Konsekvenser Ej tillräcklig informationssäkerhet i systemet Lime Leverantören visar sig inte kunna etablera eller upprätthålla kraven gällande informationssäkerhet. Krav i lag och/eller förordning kan inte uppfyllas. Kan leda till hävning av avtal och/eller byte av leverantör. Risk för informationsförlust som påverkar det pedagogiska arbetet. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Allvarlig Konsekvens Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Mittköpings analysgrupp anser att detta skulle kunna ge allvarlig konsekvens eftersom användningen av tjänsten överhuvudtaget skulle ifrågasättas. Om verksamheten oplanerat tvingas byta tjänst kan det ge stor förtroendeskada och avbrott i verksamheten. Mot bakgrund av leverantörens interna arbete med säkerhet bedöms risken att detta inträffar som mycket sällan förekommande. Leverantörens interna arbete säkerställs genom att Lime är certifierade enligt SS-ISO/IEC om informations- och it-säkerhet. Eftersom leverantören därmed har ett antal säkerhetsrutiner i sitt interna arbete ser man detta som ett kvitto på att säkerheten kan godkännas. Det gör det också möjligt för kommunen att själva upprätthålla denna nivå i sin informationshantering. Eftersom det blir gulmarkering måste man ändå säkerställa ett internt arbete för att följa upp leverantörens granskningsrapporter om säkerhet.

18 Hotbild 5 Hotkälla: Beskrivning av händelseförlopp: Konsekvenser Användarnas arbetsmaterial går förlorad pga. systemfel Lime Systemfel i SmartPads som gör att sparat material, appar e.dyl. raderas, inte fungerar. Konsekvenserna av att material försvinner, blir bl.a. att det pedagogiska arbetet stannar av. Det blir förseningar, arbete måste göras om, elevers underlag som skulle delas med pedagog för bedömning och utvecklingsplaner etc. saknas. Misstänksamhet mot digitala verktyg. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Konsekvens Allvarlig Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Mittköpings analysgrupp bedömer att tjänsten är stabil och tror att det mycket sällan kommer att bli så stora störningar att elevarbeten går förlorade. Lime beskriver i avtalet att det finns back-up-rutiner och att det finns lagring på flera ställen som säkrar att information inte förloras. Det finns möjlighet för kommunen att pröva och säkerställa att dessa rutiner fungerar. Analysgruppen anser att konsekvenserna blir betydande ur ett pedagogiskt perspektiv speciellt för den enskilda eleven, men sannolikheten att det sker och resulterar i långvariga störningar är inte så stor. Uppdatering av appar sker med jämna mellanrum med brukar vara stabila och kvalitetssäkrade. Elevernas arbeten sparas i andra it-tjänster som är tillgängliga från andra enheter än en SmartPad, men om det ändå skulle inträffa att användarna förlorar sin information, har det viss påverkan eftersom t.e. elever kan förlora elevarbeten och förtroende för tjänsten. Av denna anledning anses det vara en måttlig konsekvens om detta skulle inträffa. Det är dock viktigt att det finns rutiner för hur alternativa lösningar snabbt ska hittas när en elevs tillgång till appar försvinner, speciellt när det gäller elever i behov av särskilt stöd.

19 Hotbild 6 Hotkälla: Beskrivning av händelseförlopp: Konsekvenser Brist i tillgänglighet Lime, internetleverantör, annat ilime går inte att nå under längre tid. Det kan bli störningar i den pedagogiska vardagen, för elever som valt att spara arbeten och uppgifter i ilime och inte har dem i Mittköpings ittjänst för ändamålet. Lime som leverantör ger bara stöd i den omfattning som de har möjlighet, något som inte är tydligt reglerat i avtalet. Den yttersta konsekvensen kan bli att man får börja om från början med ett nytt ilime-konto. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Allvarlig Konsekvens Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Analysgruppen bedömer sannolikheten att det här ska ske som minimal, dels eftersom tjänsten är stabil och leverantören lägger stor vikt vid att tjänsten ska vara tillgänglig och dels eftersom Mittköping har andra it-tjänster där arbetsmaterial sparas och då är tillgängliga från andra enheter. Däremot kan internetanslutningar eller andra interna lösningar, t.e. integration av användarkonton påverka tillgängligheten, men även här finns en stabilitet och rutiner för att säkerställa tillgängligheten. Om tillgängligheten brister under längre tid, om andra enheter inte finns att använda, blir det allvarligare konsekvenser för verksamheten eftersom det pedagogiska arbetet stannar av. Därför finns rutiner för hur man ska gå tillväga om SmartPad och ilime inte fungerar som de ska.

20 Hotbild 7 Hotkälla: Beskrivning av händelseförlopp: Konsekvenser Förändring av tjänsten Lime Leverantören beslutar sig för att ändra innehållet i tjänsten, lägga till eller ta bort olika funktioner utan att vi som kund kan påverka det. Det blir störningar i den pedagogiska vardagen, både för elever och personal när nya funktioner läggs till och ska anpassas, användas alternativt funktioner man använt som försvinner. Allvarlig Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personuppgiftsbehandlingen kan förändras och det kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust. Konsekvens Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Analysgruppen har svårt att bedöma hur sannolikt det är att detta inträffar. Baserat på att man har haft tidigare kontakter med leverantören där man inte har kommit med plötsliga negativa förändringar, bedömer man att leverantören kommer att ha god framförhållning även i fortsättningen. Hotbild 8 Hotkälla: Beskrivning av händelseförlopp: Konsekvenser Konkurs och/eller uppköp Lime och andra leverantörer Leverantören går i konkurs eller köps upp av intressent som inte respekterar ingånget avtal eller som leder till att tjänsten avvecklas Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen/skolarbetet, medarbetare/skolpersonal/elever tappar förtroende för sin arbetsmiljö. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke.

21 Allvarlig Konsekvens Betydande Måttlig Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Den här risken är svårbedömd, men om det skulle inträffa kan det bli allvarliga konsekvenser om tjänsten skulle läggas ner eller en ny ägare skulle göra stora ändringar i villkoren. Lime är en stor aktör och det finns ingenting i dagsläget som tyder på att detta skulle inträffa. Det ska finnas back-up av informationen och den ska kunna kontrolleras fortlöpande av kommunen. Sammantaget bedömer man att det inte är stor risk att detta inträffar. 4.5 Samlad riskbedömning efter beskrivna hotbilder Här är samtliga beskrivna hotbilder som har identifierats i analysen inlagda. Allvarlig 4,8 Konsekvens Betydande 1,2 7,3 Måttlig 5, 6 Försumbar Mycket sällan Sällan Regelbundet Ofta Sannolikhet Del 3: Fastställ åtgärder 1. Rekommendation av åtgärder Som underlag till objektförvaltningens prioriterade handlingsplan. Hotbild Riskbedömning Åtgärd: Prioritet: Ansvarig: Felaktig behandling av personuppgifter Betydande/ mycket sällan Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitats för. Låg

22 Integritetskänsli g information och/eller känsliga personuppgifter finns och läcker ut Betydande/ mycket sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som skyddar mot intrång som ska kunna kontrolleras och prövas fortlöpande av kommunen Tydliga instruktioner kring vilken information som får finnas i tjänsten. Likabehandlingsplaner på skolan som tar upp området. Mellan Hög vad gäller att ta fram instruktio n till användare. Information och personuppgifter gallras inte Betydande/ sällan Avslutande/gallring av konton styrs enligt kommunens riktlinjer. Rutiner ska finnas Mellan Ej tillräcklig informationssäkerhet i systemet Allvarlig/ mycket sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som kan kontrolleras och prövas fortlöpande av kommunen. Leverantören är certifierad enligt ISO27001/2. Låg Nivån för informationssäkerheten ska göra det möjligt för kommunen att uppfylla motsvarande krav som gäller enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) Användarnas arbetsmaterial går förlorad pga. systemfel Måttlig/ mycket sällan Det skall finnas backup av informationen i tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen Mellan Säkerställ rutin för back-up Leverantören har back-up och rutiner så att förlorat material kan återskapas

23 Brist i tillgänglighet Betydande/ mycket sällan Nivån på tillräcklig tillgänglighet ska regleras i avtal. Nivån ska vara konkret och mätbar och med konsekvens för leverantören vid återkommande brister. Mellan Kommuner har rutiner för uppföljning och kontroller. Förändring av tjänsten Betydande/ mycket sällan Leverantören informerar löpande om förändringar. Kommunen har rutiner för att granska förändringarna och ta ställning till konsekvenserna. Mellan Konkurs och/eller uppköp Allvarlig/ mycket sällan Det ska finnas back-up av informationen från tjänsten. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen. Back-up ska kunna användas av kommunen utan leverantörens medverkan eller godkännande. Mellan säkerställ en rutin för kontroll av backup.