Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

Transkript

1 Informationssäkerhet, säker identifikation och KLASSA Webbseminarium

2 Elisabeth Miles, Örebro kommun Ulrika Stefansson, Västerås stad

3 Lagkrav på informationssäkerhet? LSS Säkerhetsskydd Patientdata GDPR Dataskydd NIS OSL

4 Vad är informationssäkerhet? Informations -säkerhet Flytta fokus från IT till verksamhet! Administrativ säkerhet Teknisk säkerhet Rutiner Riktlinjer Uppföljning Ansvar Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet Informationssäkerhet SIS-standard ISO serien En organisationsresa från datahallen till ledningsrummet

5 Informationssäkerhet på alla nivåer Ledningssystem för informationssäkerhet, LIS Styrdokument Strategisk kommunnivå Anpassade rutiner Klassning Instruktioner medarbetare Socialtjänst Skola m.m. IT-säkerhet Säkerhetsnivåer Krav på leverantörer IT-drift Leverantörer Leverantör Kommunikation m.m.

6 Vad är målet med informationssäkerhetsarbetet? Lagkrav Bevara tillit Kvalitet Undvika negativa händelser Verksamhetens behov

7 Säker roll- och behörighetsidentifikation

8 Bakgrund Socialstyrelsens rapport E-hälsa och välfärdsteknik i kommunerna 2018 Socialtjänsten stack ut gällande Säker roll- och behörighetsidentifikation Presentation från finns på: /

9 Socialstyrelsens rapport E-hälsa och välfärdsteknik i kommunerna 2018 Socialtjänstpersonalen har inte i lika hög utsträckning som hälsooch sjukvårdspersonalen tillgång till säker roll- och behörighetsidentifikation. När det gäller personal i myndighetsutövningen är det 52 procent av kommunerna som anger att all personal använder en säker roll- och behörighetsidentifikation i sitt arbete

10 Vad är Säker roll- och behörighetsidentifikation?

11 Säker roll- och behörighetsidentifikation Stark Autentisering (Säker inloggning) Vem du är Behörighetsstyrning (Aktiv och behovsprövad) Vad du kan göra Åtkomstkontroll (Systematisk logguppföljning) Uppföljning om du hade behov Även privatpersonen har rätt till loggutdrag

12 Stark autentisering (Säker inloggning) Om (integritets-) känsliga personuppgifter är åtkomliga över öppet nät, till exempel Internet, ska användarnas identitet säkerställas med en teknisk funktion som ger en stark autentisering Stark autentisering ett samlingsnamn för tekniska funktioner som säkerställer en användares identitet genom användarcertifikat, engångslösenord eller motsvarande, det vill säga mer än enbart användarnamn och lösenord. Om en autentiseringslösning innefattar fler än en faktor sägs vanligen att den kan uppnå en stark autentisering av användaren.

13 Stark Autentisering Säker inloggning 2-faktors autentisering Två av följande faktorer ska vara uppfyllda: Något du kan (lösenord, PIN-kod) Något du har (eid-kort, dosa, skraplott, telefon/sms) Något du är (fingeravtryck, röst, retina-scan) Exempel 1, kort/pin PIN Exempel 2, mobil/pin PIN Exempel 2, SMS/engångslösenord Användarnamn Lösenord Engångs lösenord

14 Behörighetsstyrning Utgångspunkten är att behörigheten ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Krav på att organisationen ska ha rutiner för att tilldela, förändra, ta bort och regelbundet följa upp individuella (tekniska) behörigheter för åtkomst till patientuppgifter.

15 GDPR Artikel 29 Säkerhet i samband med behandling säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet (åtkomstkontroll), säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes (indatakontroll), förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

16 Systematisk logguppföljning Informera personalen Informera personalen om att logguppföljning sker, under vilka omständigheter personalen får ta del av uppgifter, att personalen har ett eget ansvar att endast ta del av uppgifter som de behöver i arbetet samt om följderna av att olovligen ta del av uppgifter. Kontrollera de tekniska förutsättningarna Ta fram rutiner för loggarna genom att bestämma urval och omfattning av loggposterna Fastställ en skriftlig rutin för hur loggposterna följs upp och där urvalet av vilka loggposter som kontrolleras framgår. Dokumentera logguppföljningen och följ upp rutinen

17 GDPR Artikel 25 Loggning 1. Medlemsstaterna ska säkerställa att loggar förs över: insamling, ändring, läsning, utlämning inbegripet överföringar, sammanförande och radering. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan behandling och i möjligaste mån vem som har läst eller lämnat ut personuppgifter, samt vilka som har fått tillgång till personuppgifterna. 2. Loggarna bör endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden.

18 Vilka lösningar finns idag?

19 Verksamhetens önskemål: En säkerhetslösning, inte många Kommun Ekonomi Miljö & Hälsa Vård & Omsorg Skola Bygglov Socialtjänst Barn-omsorg Gata & Park Överförmyndare Användarnamn lösenord Sms Dosor E-tjänstelegitimation Privat e-legitimation

20 Vad kan vi göra idag? Se till att E-legitimationer i tjänsten uppfyller Svensk e- legitimation Godkänd av E- legitimationsnämnden som utfärdare av Svensk e- legitimation Fördelar Alla uppfyller ett gemensamt tillitsramverk för e-leg Möjliggör att kunna ingå i federationer E-legitimationer som uppfyller kraven kan notifieras för eidas. Komplettera gärna med leverantör av eid-tjänst för privat användning

21 Inera: Säker inloggning SITHS-kort Dagens lösning med ID-Kort försett med e-legitimation EFOS (E-identitet för offentlig sektor) Tillsammans med myndigheterna morgondagens gemensamma lösning Ersätter både SITHS-kortet och myndigheternas MCA-kort Mobilt EFOS Inera kommer att leverera en mobil lösning som gör det möjligt för en användare att logga in i e-tjänster med mobiltelefoner och surfplattor.

22 KLASSA SKL:s metodstöd för informationssäkerhet

23 KLASSA SKL:s metodstöd för informationssäkerhet KLASSA används för att Bestämma skyddsnivåer för konfidentialitet, riktighet och tillgänglighet Välja lagrum, t.ex. GDPR, PDL, NIS Bedöma befintligt skydd för informationen KLASSA ger Upphandlingskrav säkerhetskrav som ska uppfyllas av leverantören (bör ingå i avtalen) Handlingsplan GAP-analys till den ansvariga verksamhetens förvaltningsplan KLASSA är Fritt tillgängligt för SKL:s medlemmar Använt av 206 kommuner och 6 landsting (okt 2018) över 4000 handlingsplaner har gjorts Webb: klassa-info.skl.se Frågor: klassa@skl.se

24 Tre steg i KLASSA (processen) Osäkert verksamhets system Säkert verksamhets system

25 Så genomför vi en informationsklassning Resultatet av informationsklassningen i detta exempel är: K2R1T3 Verksamhetens krav är högst för tillgänglighet, sedan för konfidentialitet och lägst för informationens riktighet Källa: informationssäkerhet.se

26 Skadenivåer Nivå 0 ingen eller försumbar skada Nivå 1 måttlig skada, exempelvis minskad förmåga att genomföra verksamhetens uppdrag, effektiviteten är påvisbart reducerad Nivå 2 betydande skada, exempelvis tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende Nivå 3 allvarlig skada, exempelvis massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa

27 Skadenivåer konfidentialitet begränsningar i åtkomst till information Nivå 0 inga svårigheter för verksamheten, ingen eller liten påverkan på samhällsviktiga funktioner Nivå 1 inga större svårigheter för verksamheten att nå målen, störningen kan noteras eller upplevas ge lindriga besvär Nivå 2 trolig risk för kännbar påverkan (t.ex. ekonomiskt), andra myndigheter/organisationer kan påverkas, konsekvenser för enskilda individer Nivå 3 stora svårigheter för verksamheten, samhällsviktiga funktioner påverkas, allvarlig kränkning av den personliga integriteten

28 Skadenivåer riktighet informationen ska vara tillförlitlig, korrekt och fullständig Nivå 0 inga svårigheter för verksamheten, ingen eller liten påverkan på samhällsviktiga funktioner Nivå 1 inga större svårigheter för verksamheten, störningen kan noteras eller upplevas ge lindriga besvär Nivå 2 trolig risk för kännbar påverkan (t.ex. ekonomiskt), andra myndigheter/organisationer kan påverkas, konsekvenser för enskilda individer Nivå 3 stora svårigheter för verksamheten, samhällsviktiga funktioner påverkas, individers liv och hälsa äventyras

29 Skadenivåer tillgänglighet informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Nivå 0 inga svårigheter för verksamheten, ingen eller liten påverkan på samhällsviktiga funktioner Nivå 1 inga större svårigheter för verksamheten, störningen kan noteras eller upplevas ge lindriga besvär Nivå 2 trolig risk för kännbar påverkan (t.ex. ekonomiskt), andra myndigheter/organisationer kan påverkas, konsekvenser för enskilda individer Nivå 3 stora svårigheter för verksamheten som påverkas i allvarlig/katastrofal omfattning, samhällsviktiga funktioner påverkas, individers liv och hälsa äventyras

30 Exempel på upphandlingskrav (avtalsbilagor) # Krav ISO kapitel ISO kravområde Kon. Rik. Til Leverantören ska för de delar av verksamheten som berörs i leveransen ha ett ledningssystem för informationssäkerhet (LIS) som baseras på SS-EN ISO/IEC27001:2017 eller motsvarande. Leverantören ska ha en policy som beskriver hur de 3504 anställda får arbeta på distans avseende drift, förvaltning och support av de levererade tjänsterna. A.6.1 Intern organisation A.6.2 Mobila enheter och distansarbete A Informationssäkerhetsroller och ansvar A Distansarbete 2 2 Leverantören ska ha processer och rutiner på plats för 3505 relevant bakgrundskontroll av personal. A.7.1 Före anställning A Bakgrundskontroll Leverantören ska ha avtal om tystnadsplikt med sina anställda. Tystnadsplikten ska omfatta information om leverantörens kunder. Via avtal ska leverantören även säkerställa tystnadsplikt för underleverantörer. Leverantören ska för sin personal regelbundet genomföra utbildningar för ökad medvetenhet kring informationssäkerhet samt hålla sig uppdaterad kring beställarens policys, regler och rutiner. Leverantören ska ha dokumenterade regler, rutiner och roller som beskriver tillåten användning av de resurser som ingår i leveransen. Leverantören ska under kontraktstiden, dock minst vart tredje år, ha genomfört en riskbedömning för systemet. Identifierade brister ska åtgärdas enligt en dokumenterad plan och kunna redovisas för beställaren. A.7.1 Före anställning A Anställningsvillkor 2 A.7.2 Under anställning A.8.1 Ansvar för tillgångar A.8.2 Informationsklassning A Medvetenhet, utbildning och fortbildning vad gäller informationssäkerhet A Tillåten användning av tillgångar A Klassning av information

31

32 Resultat per system

33 Klassa v 3.5 systemkravkarta Nytt i version 3.5 är att en organisations olika handlingsplaner kan presenteras och bearbetas som helhet

34 Tre steg i KLASSA enkelt som ABC Osäkert verksamhets system 1..n Säkert verksamhets system 1..n

35 Beställarnätverk välfärdsteknik Elisabeth Miles, Örebro kommun Ulrika Stefansson, Västerås stad

36 Syfte med workshop genom beställarnätverket Ge stöd till kommuner att använda verktyget KLASSA för ett ändamålsenligt arbete med informationssäkerhet och välfärdsteknik genom att Genomföra workshops kring välfärdstekniktjänster Göra steg 1 i KLASSA verktyget (steg 2 och 3 gör varje kommun för sig) Analysera den skada som kan uppstå för individer och verksamheter vid brister i informationssäkerheten Dokumentera resonemanget som fördes under workshopen Resultatet kommer att publiceras i nästa version av Vägledning för upphandling av trygghetsskapande teknik.

37 Välfärdstekniktjänst Visuell tillsyn på distans Definition Visuell tillsyn på distans Att en person, som i detta fall är en vård-och omsorgspersonal, tittar på en individ med teknik. Att denna individ/brukare/klient är i behov av tillsyn på natten. Vid vår workshop var det trygghetskamera som utgjorde den tekniska lösningen.

38 Scenario Gösta, 87 år Hälsa Demenssjukdom. Risk för fall. Boende Gösta bor ensam i ett hus på landet. Behov av vård och omsorgsinsatser Insats av hemtjänst 3 gånger/dag. Kan på natten ha svårigheter att klara sin hygien i samband med toalettbesök. Ramlat i badrummet vid några tillfällen och då hittats av hemtjänst. Behov av tillsyn Visuell tillsyn på distans kl 22, kl 01 och kl 04.

39 Riktighet visuell tillsyn på distans Vilken skada innebär det om det visas en gammal videoström från Göstas bostad det visas en videoström från en annan persons tekniklösning det visas en videoström som är så dålig att man inte kan urskilja det man behöver Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig

40 Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Nivå 0 ingen eller försumbar skada Nivå 1 måttlig skada Ingen eller försumbar skada Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppdrag, effektiviteten är påvisbart reducerad Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför ingen eller försumbar skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Röjande av informationen medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Nivå 2 betydande skada Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende Röjande av informationen medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Nivå 3 allvarlig skada Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa Röjande av information medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. (Nivå 4 rör endast säkerhetsskydd) Synnerligen allvarlig skada Skada för rikets säkerhet som inte endast är ringa. Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa. Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Informationen omfattas av t ex säkerhetsskyddslagstiftningen. Källa: klassa-info.skl.se

41 Tillgänglighet visuell tillsyn på distans Vilken skada innebär det om personalen inte kan göra tillsynen då den är planerad? 10 minuter 1 timme på hela natten Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet

42 Konfidentialitet visuell tillsyn på distans Vilken skada innebär det om obehöriga kan se videoströmmen från tillsynslösningen? se en lista över vilka som har visuell tillsyn på distans? se logglistor över vem som använt systemet och när det gjorts? Konfidentialitet att informationen åtkomstbegränsas

43 Vad lärde vi oss Workshopledare/expert på distans fungerar mycket bra Informationssäkerhet gäller inte bara it-stöd Det är viktigt att definiera vad det är för tjänst som erbjuds, vilket leveranskrav som är rimligt och vem som ansvarar för olika delar i tjänsten Manuella backup-rutiner kan kompensera för tekniken i vissa fall