Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Transkript

1 Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

2 De senaste åren har ett antal offentliga myndigheter blivit utsatta för hot och olaga intrång i sina IT-system. Inte minst Regeringskansliet och Säpo, fall som blivit mycket uppmärksammade i media. IPnett, som är en av landets främsta leverantörer av ip-baserade kommunikationslösningar, ville ta reda på om dessa fall tillhörde undantagen, eller om det råder en allmän brist på tillförlitlig IT-säkerhet inom offentlig förvaltning i Sverige. Enkäten har besvarats av 210 ITansvariga inom offentlig förvaltning över hela landet. I den här rapporten följer en sammanställning av svaren. För att undersöka detta genomförde företaget 2013 en enkätundersökning bland IT-personal inom offentlig sektor.

3 Undersökningen Hur trygg känner du dig i att dina trådlösa och trådbundna nätverk klarar olaga intrång? Mycket säker, 81% Helt säker, 13% Osäker, 6% Helt osäker, 0% Har ni implementerat verktyg, program och hårdvara för att undvika säkerhetsproblem med användandet av egna smarta mobiler, datorer eller surfplattor? En falsk trygghet? Hela 94% känner sig trygga i att verksamhetens trådlösa och trådbundna nätverk ska klara olaga intrång. Samtidigt har 24% inte implementerat några verktyg för att undvika säkerhetsproblem kring anställdas användande av egna smart phones, datorer eller surfplattor. Trots att man är medveten om riskerna är det få som uppdaterat säkerheten, vilket kan bero på resursbrist och/eller att man prioriterar annat. Innan den egna organisationen råkat ut för en säkerhetsincident kanske man tänker Det händer inte oss - som att man inte köper ett villalarm innan man en gång haft inbrott. Och även inom organisationer som högprioriterar säkerhetsfrågor kan det hända att man använder gamla system. IT-säkerhet är en komplex fråga, eftersom IT-miljön ständigt förändras. I synnerhet problemet med att anställda har med sig egna enheter (smart phones, surfplattor, etc.) är svår att hantera och skapar säkerhetsrisker som många organisationer ännu inte har hunnit åtgärda eller inte vet hur de ska hantera. Ja, heltäckande, 71% Delvis, 2% Inte alls, 24% Övrigt, 3% Det här är komplexa frågor, i synnerhet då IT-miljön ständigt förändras. Det måste ställas högre krav inom den offentliga sektorn att ITchefer får rätt hjälp och resurser för att kunna säkra upp IT-strukturen. Olof Ferenius, VD IPnett Sverige

4 3. 4. Vilket är det största IT-säkerhetshotet ni ser idag? Anställda följer inte säkerhetspolicyn, 44% Anställda tar med egna enheter, 16% Olaga intrång i nätverket, samt skadlig kod, 24% Vet ej, 6% Vill ej svara, 2% Virus, 4% Övrigt, 4% Hur många säkerhets och nätverksincidenter har ni haft under de senaste 24 månaderna som har påverkat verksamheten? Säkerhetspolicyn meningslös utan fungerande verktyg 44% av organisationerna anser att det största IT- säkerhetshotet idag är att anställda inte följer säkerhetspolicyn. Samtidigt har 57% av organisationerna inte implementerat lösningar för att anställda ska följa säkerhetspolicyn. Det går inte att förlita sig till en policy, utan att även implementera verktyg som säkerställer att policyn efterlevs. Det är dessutom avgörande att policyn uppdateras och anpassas till dagens samhälle, och att den inte försvårar arbetet för de anställda. Ponera t ex att det finns en policy att inte tillåta anställda att komma åt mail och dokument på sin läsplatta eller telefon; då kan det hända att anställda är kreativa och lägger in en outlook-regel om att vidarebefordra en till en webmail. Detta kan då ses som ett exempel på en kontraproduktiv säkerhetspolicy där företagsinformation skickas iväg till utländska providers, snarare än att hanteras direkt mellan den egna IT-miljön och användarens egen enhet. Organisationer behöver en tydlig policy med effektiva verktyg, som samtidigt inte står i vägen för medarbetares dagliga arbete st, 3% <5, 17% Ingen översikt, 22% Ingen incident, 51% Vet ej, 1% Vill ej uppge, 5% Övrigt, 1% Få har övergripande koll 22% av de tillfrågade har ingen koll på hur många säkerhets- och nätverksincidenter de har haft som påverkar verksamheten. Det saknas ett strukturerat helhetsgrepp om IT-miljön. Många har lösningar som inte hänger ihop och gör det svårt att få överblick. Det krävs att resurser allokeras för att harmonisera IT-miljön samt aktivt arbeta med verktyg och system som styr och följer upp IT-säkerheten både ur ett hårdvaru- och mjukvaruperspektiv. 5. Använder ni kryptering i ert nätverk för att säkra data som transporteras? Ja, 48% Nej, 14% Vet ej, 4% Vill ej svara, 1% Delvis, 30% Övrigt, 3% Knappt hälften krypterar Endast 48% använder kryptering fullt ut i sitt nätverk för att säkra data som transporteras. Detta visar på komplexiteten i IT-miljön idag och hur snabbt förändringar sker samt hur svårt det är att skapa en enhetlig kontroll och överblick. Kryptering är av stor vikt för att t ex garantera medborgarnas informationssäkerhet av data som hanteras av myndigheter.

5 Många saknar skydd mot DDoS attacker 34% av de tillfrågade har inget eller litet skydd mot överbelastningsattacker (DDoS). Inom offentlig sektor har man ett samhällsansvar, och många organisationer är skyldiga att vara tillgängliga dygnet runt. Om en myndighet plötsligt inte kan kommunicera med sina medborgare via webben kan konsekvenserna bli allvarliga, vilket vi har sett exempel på tidigare, såväl i Sverige som internationellt. Risken att utsättas för ett intrång är idag stor, då det blivit relativt enkelt att skapa kraftfulla DDoS-attacker. Även om offentliga myndigheter som Riksbanken, Säpo, Riksdagen, m fl. har blivit hotade och utsatta för DDoS attacker under det senaste året, har en mycket stor del inte ett fullgott skydd mot detta. DDoS uppfattas fortfarande inte som ett av de reella hoten av mer än någon procent av de tillfrågade. Fortfarande uppfattas hot som t ex den egna personalen som större och viktigare. Detta kan bero på att de är närmare den egna verksamheten och mer en del i det dagliga arbetet. Här finns dock en påtaglig risk att man förbiser viktiga aspekter i sitt förebyggande arbete kring krishantering. 6. Har ni implementerat lösningar för? a) Anställda tar med egna enheter (BYOD)? c) Överbelastningsattacker mot webbsidor och interna system? Ja, 35% Nej, 57% Delvis, 7% Vet ej, 1% Ja, 55% Delvis, 10% Nej, 24% Vet ej, 5% Sköts på central nivå, 5% Vill ej svara, 1% b) Olaga intrång i nätverket (hacker)? d) Då anställda inte följer säkerhetspolicyn? Ja, 76% Delvis, 6% Nej, 11% Vet ej, 2% Sköts på central nivå, 4% Vill ej svara, 1% Ja, 48% Delvis, 19% Nej, 29% Vet ej, 3% Sköts på central nivå, 1%

6 Många oförberedda för att klara kraven på DNSSEC DNSSEC är en tjänst som gör Internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet. Undersökningen visar att bara hälften har förberett sin infrastruktur för att klara kraven för DNSSEC, trots det regulatoriska krav som finns. Tjänsten syftar till att göra internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnsystemet. Att man inte infört tjänsten visar på svårigheterna i att styra över en spridd infrastruktur samt att myndigheter ser andra områden som mer prioriterade. Dock kan man konstatera att riskerna med att inte införa DNSSEC är stora, och att många säkerhetsincidenter enkelt skulle kunna undvikas om man använde sig av tjänsten. 7. Har ni förberett er infrastruktur för att klara av kraven på DNSSEC? 8. Vilka är era största drivkrafter för att bygga en flexibel infrastruktur? Ja, heltäckande, 43% Delvis, 6% Planerat, ej genomfört, 20% Inte alls, 9% Vet ej, 8% Sköts på central nivå, 12% Övrigt, 2% För att klara omorganisationer och förändringar i verksamheten, 10% För att kunna använda nya teknologier, 15% För att möjiggöra distans arbete och ett mobilt arbetssätt, 6% Möta verksamhetens krav, 27% Spara kostnader, 11% Tillgänglighet / driftsäkerhet, 12% Sköts på central nivå, 8% Förbättra för användarna, 11% Behovet att uppdatera är stort 9. Hur modern är er infrastruktur? 37% anser att de behöver se över sin infrastruktur och uppdatera den. Vår undersökning visar klart och tydligt att det finns ett stort behov av att uppdatera, rationalisera, centralisera och säkra dagens infrastruktur inom offentlig sektor. Dock visar undersökningen att det finns en god vilja och insikt hos de offentliga organisationerna att förbättra sig vad gäller IT-säkerhet. Mer än 37% av de tillfrågade uppgav att de har behov av att se över sin infrastruktur vad gäller dessa frågor. Helt uppdaterad, 19% Outsourcat (låg insyn), 4% Modern men kan förbättras, 37% Mycket bra uppdaterad, 11% Mycket modern, 23% Övrigt, 6%

7 Kunskap avgörande vid outsourcing När det gäller att outsourca nätverk-, datatacenter-, och säkerhetstjänster är det viktigt att fokusera på helheten och kravställningen. Eftersom teknikutvecklingen går så fort, uppstår hela tiden nya hot och nya möjligheter att skada nätverk. Det är av yttersta vikt att den lösning som organisationen väljer är skräddarsydd speciellt för dess behov. Kravställningen och den egna kompetensen är avgörande för att säkra upp att infrastrukturen är den bäst lämpade för verksamheten. En IT-säkerhetspolicy är dessutom verkningslös om inte pengar kan avsättas för att följa upp att leverantörer verkligen lever upp till de säkerhetskrav som ställts i upphandlingen. Ingen kedja är starkare än dess svagaste länk, och det gäller i allra högsta grad kring säkerhetsfrågor. Våra 6 råd 1. Utan IT stannar Sverige IT-lösningar blir allt mer centrala i verksamheters funktion, och kraven på dessa ökar. Att ha en ständigt tillgänglig IT-miljö i form av t ex webb, sociala medier och e-tjänster är särskilt viktigt för offentliga organisationer som kommunicerar med medborgare, eller för myndigheter som hanterar viktig information. 2. Se upp för falsk trygghet Det är av avgörande vikt att arbeta proaktivt med ITsäkerheten, och att kontinuerligt se över och uppdatera sina säkerhetslösningar. 10. Hur har ni säkrat att er infrastruktur är den bästa och mest lämpade för er verksamhet? Mix av egen kompetens & externa konsulter, 6% Använder externa upphandlingskonsulter, 13% Ser till att ha rätt kompetens i egen organisation, 15% Upphandlar via kammarkollegiet, 44% Outsourcat, 5% Sköts på central nivå, 11% Övrigt, 6% 3. Datacentret lika viktigt som slutanvändarna Vad gäller säkerhet måste man se till helheten, 80% av trafiken går idag i datacentret. 4. Se till att ha verktyg som stödjer IT-säkerhetspolicyn En policy är verkningslös om den inte stöds av rätt verktyg och kontrolleras. Det är dessutom avgörande att den moderniseras och uppdateras allteftersom. 5. Anställda vill använda egna enheter Det är en realitet idag att anställda vill använda egna smart phones och surfplattor, och det finns ingen anledning att kämpa emot detta. Vänd istället utvecklingen till en fördel och ha styr på det. 6. Se till att ha koll släpp aldrig greppet Egen kompetens och en god överblick av helheten är avgörande för en säker, flexibel och användarvänlig IT infrastruktur.

8 Kontakt IPnett AB Dalvägen SOLNA, Sverige Tel: info@ipnett.se IPnett är en ledande leverantör av kommunikations- och nätverkslösningar. Företaget designar, utvecklar och levererar infrastruktur, UC- och säkerhetslösningar till företag, offentlig sektor och telekom- och nätoperatörer i Norden. IPnett har ca 120 medarbetare i Sverige, Norge och Danmark. Se vidare