Rundabordsamtal 19 oktober, Strategiska samtal om informationssäkerhet. - Hur kan vi rusta länets informationssäkerhet på ledningsnivå?

Transkript

1 - Hur kan vi rusta länets informationssäkerhet på ledningsnivå? Dessa mötesanteckningar utgör tillsammans med bifogade bilder en sammanfattning av dagen. För den som önskar kan seminariet upprepas i anpassad form för respektive kommun där undertecknad i så fall föredrar samtliga presentationer. Mötet avslutas med öppna samtal om kommunens utmaningar och möjligheter. Om detta önskas ber jag er att återkomma direkt till mig på epost: stephen.dorch@rfkl.se. Målgrupp: Politiker och högre chefer Regiondirektören och tf Landshövding hälsade välkomna och gav ett par exempel på värdet av god informationssäkerhet för den regionala utvecklingen men även för rikets säkerhet. Närvarande på mötet var politiker och högre tjänstemän från Mörbylånga, Oskarshamn, Vimmerby, Kalmar samt regionförbundet och länsstyrelsen. Agenda / innehåll 1 Informationssäkerhet i Sverige och i kommunerna - MSB 2 EU dataskyddsförordning - SKL 3 Internets möjlighet och utmaningar - Internetstiftelsen, IIS 4 Nationell handlingsplan - SKL 5 Informationssäkerhet i Kalmar län - Regionförbundet 6 Rundabordssamtal - alla Anteckningarna är relativt långa och omfattande i syfte att delge dem som inte hade möjlighet att närvara en bra bild av mötet. Anteckningarna kompletterar de bildspel som visades och som följer med som bilagor till dessa anteckningar. Bilagor: - 1_MSB_Presentation_Regionförbundet_Kalmar_infsäk.pdf - 2_SKL_dataskyddsförordning_Kalmar.pdf - 3_IIS_Internets_utmaningar_och_möjligheter.pdf - 4_SKL_handlingsplan_Kalmar.pdf - 5_RFKL_Informationssäkerhet_i_Kalmar_län.pdf - 6_checklista_dataskyddsförordningen.pdf

2 1. Kommunernas informationssäkerhet Myndigheten för samhällsskydd och beredskap, MSB, Richard Oehme, verksamhetschef Richard inledde med att förklara MSB:s organisation och uppdrag samt betonade värdet av samverkan. Kommunernas samverkan för informationssäkerhet, KIS-nätverket, framhölls som särskilt angelägen för kommunernas del. KIS startades upp bland annat på initiativ från Regionförbundet i Kalmar. Mänsklig och miljöbetingad inverkan Richard beskrev en bild av hot, risk och sårbarhet fördelat i mänsklig respektive miljöbetingad inverkan på verksamheten. Den mänskliga inverkan består av avsiktliga eller oavsiktliga händelser som t.ex. sabotage, stöld, intrång eller misstag, vårdslöshet eller felbedömningar. Den miljöbetingade inverkan utgörs av mänsklig påverkan eller naturlig påverkan som t.ex. olyckor, sjukdom, missbruk eller åska, storm och översvämning. Nödvändiga säkerhetsåtgärder följer inte samma takt som ITutvecklingen i stort. Ett glapp uppstår mellan säkerhet och utveckling som gör oss mer sårbara. System för styr och reglerteknik Med SCADA system menas system för styr och reglerteknik, t.ex el och vattenförsörjning, lås, ventilation och värmesystem. Dessa system är särskilt sårbara då de ofta är föråldrade och inte alltid anpassade att anslutas till internet för t.ex. övervakning och fjärrstyrning. Dessa system omfattas också av informationssäkerhet, en störning i SCADA system kan leda till mycket allvarliga händelser. Statligt stöd genom CERT.SE Rickard berättade om CERT.SE som är en nationell teknisk resurs med spetskompetens och tillgänglig för alla organisationer i Sverige, däribland självklart varje enskild svensk kommun. CERT:ens uppgift är att agera skyndsamt vid inträffade IT-incidenter samt att arbete förebyggande. Informationssäkerhetspolicy Richard presenterade en översikt av statliga myndigheter, länsstyrelsernas och kommunernas informationssäkerhet. På frågan om informationssäkerhetspolicy blev utfallet följande: - 84 procent av de statliga myndigheterna har en informationssäkerhetspolicy, 26 procent kontrollerar inte efterlevnaden. Svarsfrekvens 95 procent procent av länsstyrelserna har en informationssäkerhetspolicy, 71 procent kontrollerar inte efterlevnaden. Svarsfrekvens 100 procent procent av kommunerna har en informationssäkerhetspolicy. 71 procent kontrollerar inte efterlevnaden. Svarsfrekvens 83 procent. Kommunernas informationssäkerhet Resultatet visar att den största bristen består i att kommunerna inte arbetar systematisk med informationssäkerhet samt att roller saknas eller tilldelas för lite tid. Av de 242 kommuner som besvarat enkäten anger: - 25 procent att de har ett etablerat samarbete med länsstyrelsen - 55 procent att de samverkar med andra kommuner

3 - 71 procent att de inte arbetar systematiskt med informationssäkerhet - 28 procent att de saknar beslutad informationssäkerhetspolicy - 41 procent anger att de saknar utpekad funktion för informationssäkerhet - 41 procent anger att de inte gör riskanalyser avseende informationssäkerhet - 59 procent anger att de saknar kontinuitetsplaner - 58 procent anger att de inte utbildar medarbetarna i informationssäkerhet - 93 procent anger att de inte har identifierat SCADA-system som kritiska Som en följd av ovanstående resultat rekommenderar MSB preliminärt (vid tidpunkt för anteckningarna var rekommendationerna ej beslutade) nedanstående åtgärder: - Utse en funktion för informationssäkerhet. - Analysera nuläget. - Informera ledningen. Visa på reella hot och inträffade incidenter. - Skapa en handlingsplan utifrån nuläget, bör beslutas av ledningen. - Identifiera information som hanteras i verksamheten. Klassificera informationen efter hur allvarlig konsekvensen blir av bristande informationssäkerhet. - Ta fram styrdokument. - Se till att höja säkerhetsmedvetandet inom kommunen. - Ta fram informationssäkerhetsrelaterade krav att användas vid upphandlingar. - Gör uppföljningar, kontrollera efterlevnaden av beslutade riktlinjer. Richard avslutar med att presentera delar av det råd och stöd som MSB erbjuder kommuner. Dessa återfinns på informationssakerhet.se och består av metodstöd, vägledningar, rapporter och utbildningsmaterial. MSB rekommenderar följande webbsidor för informationssäkerhet: Dataskyddsförordningen Sveriges kommuner och landsting, SKL, Jörgen Sandström, enhetschef på avdelningen för digitalisering. Jörgen ersatte Jeanna Thorslund pga sjukdom. Jörgen är inte jurist, men har stor insyn i förordningen och har varit engagerad i förarbetet. Dataskyddsförordningen förkortas GDPR Det engelska uttrycket för förordningen är General Data Protection Regulation, förkortas GDPR. Lägg förkortningen GDPR på minnet, då det är en ofta förekommen förkortning när vi läser och diskuterar dataskyddsförordningen på svenska. Varför ny lagstiftning? Dataskyddsförordningen ersätter vår nuvarande personuppgiftslag i maj Då ska all behandling av personuppgifter vara anpassad till de nya reglerna. Tidigare lagstiftning sattes i en tid då smarta telefoner, plattor, molnet och sociala medier saknades. Internet och digitaliseringen skapar nya möjligheter som förutsätter att

4 lagstiftningen hänger med för att värna medborgarna integritet och säkerhet samt att den stödjer öppen handel och informationsöverföring över nationsgränser. Några av nyheterna De största nyheterna är att förordningen gäller direkt som svensk lag, nationella varianter får inte förekomma. Rätten att bli gömd samt rätten att flytta information om sig själv är två ändringar som syftar till att stärka enskildas ställning. Det blir ett ökat ansvar för personuppgiftsansvariga och personuppgiftsbiträden med krav på konsekvensbedömningar och skyldighet att anmäla incidenter. Tillsynsmyndigheter får rätt att ta ut sanktionsavgift. Vad är likt nuvarande regler? Förordningen liknar vår personuppgiftslag, pul, till stora delar. Det är i grunden samma tillämpningsområde med grundläggande krav som vilar på samma rättsliga grund, som personuppgifter och regleringar vid överföring till tredje land. För den som idag klarar alla krav i pul är skillnaderna inte så stora, utmaningen ligger i att många idag inte lever upp till just dessa krav. Vad händer nu? Dataskyddsförordningen börjar att gälla den 25 maj 2018, vi har alltså drygt 18 månader på oss att vidta nödvändiga åtgärder. All svensk lagstiftning inom förordningens tillämpningsområde behöver ses över. Den europeiska dataskyddsstyrelsen ersätter den så kallade 29-gruppen. I Sverige ska alla personuppgiftsansvariga och personuppgiftsbiträden vara förberedda och följa dataskyddsförordningen. Ett antal integritetsutredningar pågår, några av dessa är: - Ju 2016:04 om dataskyddsförordningen - Ju 2016:17 om stärkt integritet i rättsmedicinalverket - S 2016:05 Socialdataskyddsutredningen - U 2016:04 Forskningsdatautredningen - U 2016:03 Utbildningsdatautredningen - Arbetsmarknadsdepartementet översyn av författningar - Översyn av reglemente för brottsbekämpning, kameraövervakning etc. Samtliga ovanstående utredningar ska slutredovisas andra halvåret 2017 Vad behöver kommunerna göra? Ledningen behöver ta initiativ så att anpassning och åtgärder kan påbörjas. En förstudie bör genomföras som omfattar nulägesanalys och GAP-analys, dvs vart står vi nu och vad är vårt mål. Därefter måste insatser planeras och bemannas. Kartläggningen behöver beakta vilka personuppgiftsbehandlingar som finns och varje nämnds ansvarsområde behöver ses över enligt artikel 30 i förordningen. Information som samlas in och lämnas ut måste alltid granskas och eventuellt kompletteras enligt artikel i förordningen. Dataskyddsombud Ett dataskyddsombud behöver utses. Det kan vara befintligt personuppgiftsombud som kompetensutvecklas eller så säkerställs kompetensen genom nyrekrytering. Ombudets arbetsuppgifter kommer att förändras jämfört med idag. Säkerställ att ombudet är rätt placerat i organisationen, ombudet ska enligt artikel i förordningen rapportera direkt till högsta ledning.

5 Datainspektionen Datainspektionen har en checklista på nödvändiga åtgärder, se länk eller bilaga till dessa anteckningar Internets utmaningar och möjligheter, Internetstiftelsen i Sverige, IIS, Ann-Marie Eklund Löwinder, Säkerhetschef. IIS är en oberoende stiftelse med uppdrag att ansvara för driften av toppdomänerna.se och.nu samt att främja utvecklingen och användningen av internet i Sverige. Vad är Internet, vad består det av? Internet består miljontals fiberkablar och ett system av miljoner servrar, switchar och brandväggar som håller reda på adresser, zoner och trafik. Ann-Marie illustrerar några av de tusentals sociala medier som finns idag och hur nätet varje minut distribuerar och publicerar miljontals bilder, film, tal, musik, meddelanden, tv, radio osv. Kort sagt, det internet vi har idag är vi beroende av. Hoten på nätet Baksidan på myntet är hoten och riskerna, internet gör oss mer sårbara. Cirka 90 procent av alla av alla attacker börjar med riktade nätfiskemejl. I en typisk attackcykel samlas information om potentiella offer, därefter utvecklas någon form av relation. När relationen är etablerad genomförs attacken som kan handla om t.ex. kapade filer, alltså den skadliga koden ransomware. I det sista steget exploateras attacken och angriparen begär pengar för att återge filerna till ägaren. Ett bra skydd är en kontrollerad och minimalistisk behörighetsstruktur, information och utbildning samt regelbunden säkerhetskopiering som verifieras. Angriparens verksamhet är lönsam Metoden är lönsam, det händer att företag och privatpersoner som slarvat med säkerhetskopiering betalar för att få tillbaka information. Ransomware och andra attacker som IDkapning omsätter hundratals miljoner dollar. I Sverige drabbas 5-10 företag dagligen som i snitt luras på ca 40 tkr- Värre gick det för finska företaget Koncranes, som lurades på 17,2 miljoner euro. Fler exempel finns i presentationen. motkonecranes-dotterbolag-polisen-utreder-saken Dagens och morgondagens utmaningar Utvecklingen går snabbt framåt, världens samlade datamängd fördubblas var 18:de månad. Mängden digital information skapar oändliga möjligheter och utmaningar. Utmaningen i Big Data ligger i att hantera all denna information, att konstruera system och datorer som klarar dessa volymer. Med kraftfulla kvantdatorer, automatisering och virtualisering blir detta möjligt. Vi blir allt mer mobila och nu är snart allting vi har och ser uppkopplat, prylarnas internet, eller Internet of Things, IoT är här. Internet of Things och överbelastningsattacker Tänk er en värld där allt är uppkopplat, dammsugaren, papperskorgen, kyl/frys, diskmaskin, lampan, brandvarnaren, termostaterna osv, allt detta finns redan. Tyvärr införs IoT utan något större tänk på säkerheten. I en nyligen genomförd överbelastningsattack mot ett amerikanskt bolag var över 10 miljoner enheter i det

6 attackerade nätverket kapade prylar med bristande säkerhet beroende på att de var felaktigt installerade. Hur arbetar vi förebyggande med informationssäkerhet? Vi behöver förstå riskerna, det är människan som är den svaga länken. Vi behöver börja med att identifiera hotbilden och göra riskbedömningar. Först därefter vet vi vilka förebyggande och skadereducerande åtgärder som är nödvändiga. Vi arbetar med processer som incidenthantering, krishantering och återställande. Ledningen har ansvar för säkerheten och behöver ta ställning till hur vi bäst arbetar riskbaserat, hur vi skapar en riskkultur. Risk-kultur Riskhanteringens uppgift är att fortlöpande bedöma och hantera alla de möjligheter, hot och risker som kan drabba verksamheten. Vi behöver minska risken för störningar som utgör hinder för verksamhetens mål, kontinuiteten måste säkerställas. Om en incident inträffar kan vi hoppas på det bästa, men vi måste vara förberedda på det värsta. Det är den upplevda risken som är den faktiska risken. Vi överreagerar ofta på medvetna handlingar, omedelbara hot och snabba förändringar, men vi underreagerar på olyckor, abstrakta händelser, naturfenomen och långsiktiga hot. En risk-kultur innebär att: - riskmedvetenhet och riskhantering är tydligt erkända värderingar - ansvaret för risk är tydligt - riskhantering är integrerat i allt som görs - ledarna lever risk, de agerar föredömligt - riskhanteringsarbetet drivs av ett ständigt lärande Säkerhet är relativt, du måste inte vara absolut säker, men du behöver vara tillräckligt säker. Säkerhet skapas i dialog mellan ledning och medarbetare. I en organisation som har fungerande säkerhetskultur är säkerhetstänkandet en naturlig del, en del i värdegrunden. 4. Kommunal informationssäkerhet i nationell handlingsplan, Sveriges kommuner och landsting, SKL, Jörgen Sandström, enhetschef på avdelningen för digitalisering. Jörgen ersatte Jeanna Thorslund pga sjukdom. Jörgen har i likhet med Jeanna varit delaktig i arbetet med att ta fram handlingsplanen. Mål Regeringen har uttalat att år 2025 ska Sverige vara bäst i världen på ehälsa och på att tillvarata digitaliseringens möjligheter. regeringen-och-skl-overens-om-vision-for-e-halsoarbetet/ Syfte I syfte att nå dessa mål har SKL i samverkan med medlemmarna utformat en handlingsplan med gemensamma förutsättningar som möjliggör en ökad digital samverkan och som underlättar och effektiviserar kommuner, landstings och regioners digitala verksamhetsutveckling. SKL:s kongress har i inriktningsmålen för

7 beslutat att SKL ska verka för nationella överenskommelser mellan kommuner, landsting och regioner om strategisk målarkitektur. Utmaningar Den offentliga förvaltningen behöver ses som en helhet med ett samlat stöd. Öppen data behöver tillgängliggöras för utveckling och vissa processer behöver automatiseras. Producerad information ska ske med öppen standard så att den kan flöda sömlöst mellan organisationer och paketeras på sätt som passar användaren bäst. Öppen standard används för att främja utbytbarhet och innovation. Offentlig samverkan sker för invånarnas bästa och med gemensam nyttan i fokus. Digital service ska erbjudas till alla. Invånare och företagare sköter merparten av ärenden via digitala kanaler. Personliga möten finns kvar för svårare ärenden som behöver mer stöd och konkret hjälp. Digital service och myndighetsutövning upplevs som transparent, rättssäker och trygg med samlat stöd i varje unik situation. Effekter Utvecklingen främjas genom bättre samverkan, vi kan optimera resurser och dela utvecklingskostnader. Med gemensamma krav uppnås lägre upphandlingskostnader och tiden för införande av digitala tjänster minskas. Vi uppnår en säker och kostnadseffektiv förvaltning, vi bidrar till marknadens utveckling och främjar innovation då flera aktörer agerar. EU 2020 och digitala agendan Handlingsplanen är en del i ett större sammanhang, som hänger ihop med EU:s inre marknad och mål för I Sverige baseras handlingsplanen på den digitala agendan och strategier för offentlig sektors digitalisering. Digital först handlar om att i första hand ska innovativa digitala lösningar användas för ett smartare, mer digitalt offentligt Sverige. För att åstadkomma detta förutsätts en digital infrastruktur som en stabil bas. Handlingsplanens fyra delar är - Ledning och styrning - Principer, arkitektur och säkerhet - Informationsförsörjning och digital infrastruktur - Processer och tjänster. Se målen för respektive del nedan. Ledning och styrning Mål 2020 Ansvarsfördelningen i den offentliga sektorsövergripande förvaltningen är tydlig. Det finns en långsiktig finansiering för utveckling, drift och förvaltning av gemensamma tjänster. Möjligheterna att dela, äga och förvalta gemensamma tjänster baseras på en juridisk hållbar konstruktion. Leverantörernas tjänster baseras på en gemensam informationsarkitektur och SKL erbjuder tjänster baserat på medlemmarnas prioriteringar. Principer, arkitektur och säkerhet Mål 2020 Styrande principer, referensarkitektur och gemensamt regelverk för offentlig sektor är införd, känd och accepterad. Alla kommuner, landsting och regioner arbetar i enlighet med Ledningssystem för informationssäkerhet, LIS. Offentlig sektors förmåga att ställa relevanta krav i IT-upphandlingar avseende principer, ramverk och informationssäkerhet har avsevärt förbättrats.

8 Informationsförsörjning och digital infrastruktur Mål 2020 En grundläggande gemensam infrastruktur och förvaltningsmodell för alla sektioner finns på plats och är etablerad. En viktig del av verksamhetens utveckling är att strategiska informationsskällor är kostnadsfritt tillgängliga, med en tydlig ägare samt stabil drift och förvaltning. Ett flertal tjänster som stödjer snabb och enkel informationsförsörjning och som tillgängliggör öppen data är införda. Processer och tjänster Mål 2020 Invånare och företagare behöver bara lämna information som är ärendespecifik, övrig information hämtas per automatik. Offentlig sektor har gemensamt utvecklat digitala tjänster som livshändelser, plan och bygg, livsmedel, miljö samt vård och skola. De vanligaste ärendetyperna finns tillgängliga som basutbud baserat på öppna ramverk. Externa aktörer har tillgång till öppen information och sektorns gemensamma förutsättningar vilket bidrar till ökad innovation. Förslag till prioriterade insatser för SKL Ett gemensamt system för bokning och bidrag baserad på kommunal arkitektur. - E-tjänst för företag som planerar starta restaurang. Ett viktigt referensprojekt som bygger på gemensam arkitektur och som kan utvecklas till ett gemensamt basutbud även för andra kommande kommunala etjänster. - Säker digital kommunikation som ersätter faxandet mellan myndigheter. Här har bland annat kommuner och Regionförbundet i Kalmar län bidragit till med krav. Viktigt område för social verksamhet. - Utveckling av Mina uppgifter som är ett gemensamt informationslager för privatpersoner. Tjänsten syftar till att medborgare enbart ska behöva uppdatera dessa uppgifter på ett enda ställe, och därefter hänvisa dit istället för att ange dessa vid varje enskild myndighetskontakt. Förstudie pågår tillsammans med Inera, Skatteverket, Pensionsmyndigheten och andra intresserade myndigheter samt e- samverkansprogrammet. 5. Kommunala utmaningar Stephen Dorch, Regionförbundet i Kalmar län, ersättare för Per Oscarsson pga sjukdom. Tanken var att Per Oscarsson skulle medverkat och berättat om vilka utmaningar han ser för Örebro kommun. Stephen tar upp delar av det som uppfattats i tidigare, men huvuddelen av föredraget handlar istället om hur vi arbetar med informationssäkerhet i Kalmar län. Var pragmatisk Det finns en risk att krav på ökad säkerhet i praktiken leder till minskad säkerhet. Informationssäkerheten behöver utformas där det faktiska arbetet görs. Medarbetarnas förutsättningar att utföra sitt jobb försvåras om regler och teknik begränsar snarare än stödjer medarbetarna. Vi måste vara pragmatiska och värdera åtgärderna så att dessa verkligen bidrar till nytta och rätt nivå på säkerheten snarare än det omvända. Länets beslutsfattare tycker att.. Svenska statsnätsföreningen genomförde 2015 en undersökning som visar att 70 procent av ledande beslutsfattare i Kalmar län är oroliga för IT-säkerheten. Många tror att oron för IT-säkerheten hämmar digitaliseringen. En majoritet av

9 kommunföreträdarna anser att staten bör ta ett större ansvar för IT-säkerheten i den offentliga sektorn. Källa: Informationssäkerhetsprojekt med Länsstyrelsen och MSB 2014 fick länet 1,7 mkr av staten för informationssäkerhetshöjande åtgärder med fokus på ökad kunskap om informationssäkerhet. Ett antal workshop och kurser har genomförts inom områden som roller och ansvar, dataskyddsdirektiv, informationssäkerhet och juridik, IT-tjänstehantering (ITIL) och informationssäkerhet baserat iso27000-serien. Vidare har ett koncept för övning av IT-relaterade händelser upphandlats liksom ett verktyg för e-learning. Dagens dialogmöte är en viktig del i detta projekt som avslutas vid årsskiftet. Ett hundratal personer har då fått ökad insikt och kunskap som förhoppningsvis lyfter länet i dessa frågor kommande år. Vad är informationssäkerhet? Informationssäkerhet handlar om att skydda informationen utifrån egenskaperna tillgänglighet, riktighet, konfidentialitet och spårbarhet. Säkerhetsåtgärder delas upp i tekniska och administrativa åtgärder, och det är i de administrativa åtgärderna som ledningens ansvar kommer in, som t.ex. upprättande av riktlinjer som är möjliga att förstå och efterleva samt att resurser och ansvar tilldelas. Reflektion Örebro Informationssäkerhet saknas i befintliga strukturer jämfört med t.ex. ekonomi eller brandskydd. Processer som behöver ses över är verksamhetsplan, kontrollplan och ledningens genomgång. Säkerhetskulturen behöver omfatta information, kommunikation, resurser och tydliga beslut. Befintliga riktlinjer brister i efterlevnad, ett arbete med upprättande av verksamhetsanpassade riktlinjer är påbörjat baserat på att reglera, stödja, kontrollera och förbättra. Notera att ovanstående reflektion endast är Stephens tolkning av Örebro kommuns utmaningar. Systematisk informationssäkerhet och ledningssystem Kommunal verksamhet är komplex med många breda och viktiga samhällsfunktioner som är beroende av adekvata IT-stöd med rätt säkerhet. Stephen beskriver vikten av att arbeta systematisk med informationssäkerhet baserat på upprättande av styrande dokument och nödvändiga processer som att identifiera information och åtgärder, klassificering och riskanalys. Om detta utförs på rätt sätt så är processen att likställa med ett ledningssystem för informationssäkerhet. Stephen betonar värdet av ledningssystem men understryker att kommunen endast ska ha ett ledningssystem. Det är det samma ledningssystem för kvalitet iso9001, miljö iso14001 och informationssäkerhet iso Lagar och förordningar Avslutningsvis nämndes några av de vanligaste lagarna som reglerar informationssäkerheten i kommunerna. Många av dessa är under utredningen för att harmonisera med kommande dataskyddsdirektiv. Lagarnas spänner över ett brett område som t.ex. Sveriges säkerhet, offentlighetsprincipen och integritetsskyddande lagstiftning.

10 6. Avslutande dialog - rundabordssamtal Avslutningsvis genomfördes en timmes rundabordssamtalet med föredragshållarna och inbjudna deltagare. Det fungerar, trots allt En del av frågeställningar kom att handla om hur komplicerad och viktig IT-miljön är och värdet av en god förvaltning. Andemeningen var att trots kommunernas begränsade resurser fungerar det ganska bra med relativt få incidenter. Att små kommuner har samma utmaningar och lika många system som större kommuner diskuterades. Små kommuner måste klara samma krav fast med betydligt färre resurser. Problem med regler och riktlinjer Det systematiska informationssäkerhetsarbetet är nog bra, men kommunerna har begränsat med resurser och efterfrågar ytterligare stöd som genereras avlastning snarare än belastning. Problemet med fler regler och riktlinjer är vi drunknar i dessa, det måste vara tydligt och enkelt så att medarbetarna finner stöd och inte ytterligare krav. Vi måste avdramatisera processerna, ibland kanske vi krånglar till det i onödan. Vi behöver hitta skärningspunkten mellan insats och nytta. Vi behöver få in informationssäkerhet i den interna kontrollplanen. Vi behöver bli bättre på att kommunicera mellan ledning och medarbetare i dessa frågor. Dataskyddsförordningen Kommande dataskyddsförordning är viktig, kommunerna behöver ytterligare utbildning och insikt för att förstå vilka anpassningar som är nödvändiga. Om vi följer PUL så behöver inte förändringarna vara så stora. Ett förslag var att regionförbundet upphandlar regionala kurser för dataskyddsförordningen, vilket kommer att ske. Analysera vid införande av ny teknik Ny teknik som skapar nya möjligheter är på väg in, natt-tillsyn inom hemtjänsten är ett av flera exempel, här får det absolut inte gå fel. Därför är arbetet med KLASSA, riskanalyser och åtgärdsplaner värdefullt. Statens ansvar Många ansåg att staten borde ta ett större ansvar, med stödjande verktyg och vägledningar. Staten borde också bli bättre på att vidta åtgärder som bidrar till högre säkerhet i infrastrukturen, som t.ex. mobil täckning på landsbygden. Det handlar om styrning på flera nivåer, där varje nivå behöver ta sin del av ansvaret. Politiken Politiken efterlyser tydligare dialog, vi måste förstå utmaningen för att kunna fatta rätt beslut. I dessa sammanhang används ofta fikonspråk som ibland kan vara svår att förstå. Privat och arbete Som förtroendevald har vi ofta samma epost privat som i förtroendeuppdraget. Vissa regler försvårar detta. Vi måste vara tydliga med vad som är arbete och vad som är privat, vart går gränsen? Får vi t.ex. använda privat egendom i något ärende? Uttrycket bring your own device, byod, alltså att använda privat utrustning i tjänsten behöver fastställas.

11 Rundabordssamtalet i punktform Nedanstående är Stephens punktnoteringar från rundabordssamtalen. Dessa ligger som grund för ovanstående sammanfattning. - Infrastrukturens grund är viktig. - Kritiska delar måste identifieras. - PUL och dataskyddsförordningen ger oss utmaningar. - IIS följer en etablerad årscykel med de processer som ett systematiskt informationssäkerhetsarbete innebär. Avdramatisera processerna, gör det inte så krångligt. - MSB menar att vi måste analysera det vi gör och att ledningen behöver prioritera. - Vi måste förstå mål och nytta, samt värdera säkerheten. Ett exempel där det inte får gå fel är de nya tillsynskamerorna, är det tillräckligt säkert? För detta har vi använt KLASSA i en del projekt och lyssnat av marknaden genom så kallade RFImöten. - För vissa delar kommer det att behövas en redundant, dubbel miljö. - Kommunerna är som en diversehandel, vi har många system, det ger oss utmaningar. - Vi måste identifiera de viktigaste systemen som vi står och faller med. Dessa behöver säkras upp. Detta är ledningens ansvar. - Vi måste prioritera, men lagarna ska givetvis följas. - Vi har 165 styrdokument, plus ytterligare policys och checklistor, ytterligare styrdokument skapar än större utmaningar. Vi behöver strukturera upp, så att det blir översiktligt, vi måste hitta skärningspunkten mellan nödvändiga åtgärder, nytta, kostnader, risker och säkerhet. - Hittills har det gått bra ändå, tack vara duktiga medarbetare. - Vi kan bli bättre på att använda RSA och KLASSA, dock krånglar vi ofta till detta och gör det för svårt. - Ett LIS behöver inte vara omständligt, tvärtom bidrar det till struktur, delegation och tydligare revisioner. Det blir enklare att göra ett bra jobb. - Allt som görs måste ha ett värde för ledningen. - Finns det ingen grundmall som passar många, det skulle göra det enklare att förstå vad som måste göras. - Har stora kommuner som Stockholm och Göteborg större utmaningar än små kommuner, eller är det tvärtom? Det är samma utmaningar, då vi har samma uppdrag. Vi har lika många system, fast betydligt färre resurser. Det ser ganska lika ut över hela landet. - Ta fram gemensamma upphandlingskrav, det finns exempel från Stockholms lokaltrafik, men ett nyare och mer modernt verktyg för upphandlingskrav är KLASSA, och då främst version2. - Som politiker behöver vi hjälp med att förstå, ofta saknar vi viss kunskap. Här kan tjänstemännen bli tydligare, inget fikonspråk. - Vi måste hitta en metod och ett arbetssätt för informationssäkerhet. - Mycket fungerar ju faktiskt idag, det är väl fungerande. Kan inte staten hjälpa till med att utforma ett LIS som vi kan använda? - Staten hjälper till med vägledningar, riskanalyser, utbildning etc. - Behöver vi mer central styrning? - Varje nivå behöver göra sin del, sin egen läxa. - Men vi kan inte fixa täckning och mobilt bredband, som exempel.

12 - Mycket görs, men mycket är inte skrivet. Vi gör hela tiden riskbedömningar och avväganden. - Kan vi få in informationssäkerheten i den interna kontrollplanen? - Incidenthantering är viktigt, det behöver vi strukturera upp, vilken nivå bör då gälla? - Vi kan få fram statistik på spam. - Det är en utmaning att kommunicera dessa frågor mellan ledning och medarbetare. - Identifiera de tre viktigaste åtgärderna, gör dessa. - Knyt informationssäkerhetsarbetet till verksamhetsutveckling. - Epost till förtroendevalda, hur hanteras blandningen av privat epost och jobbmail? - Mobilpolicy, vad är privat, vad är jobb? - Bring your own device, byod. - För den som hanterar pul är dataskyddsförordningen ingen större deal. - Bra om vi kan få fler kurser om EU:s dataskyddsförordning. Vid tangenterna Stephen Dorch Bilagor: - 1_MSB_Presentation_Regionförbundet_Kalmar_infsäk.pdf - 2_SKL_dataskyddsförordning_Kalmar.pdf - 3_IIS_Internets_utmaningar_och_möjligheter.pdf - 4_SKL_handlingsplan_Kalmar.pdf - 5_RFKL_Informationssäkerhet_i_Kalmar_län.pdf - 6_checklista_dataskyddsförordningen.pdf