Informationssäkerhet i regional samverkan! Månadsbrev september 2015 Nr 9, 2015 Samverkan Informationssäkerhet I Kalmar län samverkar kommunerna, landstinget och regionförbundet i informations- säkerhetsfrågor. Månadsbrevens syfte är att sprida information till parterna. Tidigare månadsbrev hittar du här: http://rfkl.se/sv/verksamheter/it_infosakerhet/informationssakerhet/nyhetsbrev/ Innehåll Detta månadsbrev handlar om informationssäkerhetsmånaden, axplock från MSB konferens, e- tjänsteplattform, former för samverkan, RSA, Revision och arbetet med styrande dokument. Några genomförda aktiviteter september 2015 Informationssäkerhets- dagarna Möte exsam, säkerhetssamordnarna Kommunchefsmöte Earkiv programgrupp LänsITrådet RSA länsstyrelsen Styrgruppsmöte infosäk Leverantörsträff, Atea Avstämning med revisorer, PwC IT samt Social och omsorg, Mönsterås LISbeth Oktober är EU:s informationssäkerhetsmånad! EU riktar fokus på vår gemensamma information, dess värde och beroenden. Vi måste alla hjälpas åt och ta vår del av ansvaret. Det handlar om skydd av den personliga integriteten, ekonomiska värden och samhällets funktionalitet. På kampanjens webbsida http://ecsm.msb.se/ finns en sammanställning av många nyttiga aktiviteter som barn och unga, test av lösenord, interaktiv webbutbildning, tips och råd och mycket mer. Informationssäkerhetsdagarna MSB genomför varje höst en tvådagars konferens om informationssäkerhet riktad till offentlig sektor. Konferensen är alltid välbesökt och håller normalt en hög kvalitet, så även denna gång. Per Mosseby, ansvarig för avdelning för digitalisering på SKL pratade om informationssäkerhet som en del i den digitala utvecklingen. Han lyfter särskilt fram nedanstående tre budskap; Digitaliseringen sker i en allt snabbare takt. Arbetet med informationssäkerhet kan inte vänta och det kommer inte heller att bli färdigt. Nya krav och utmaningar kräver stöd som gör det lätt att göra rätt. Det behövs en bättre samordning, vi måste gå ifrån sektorstänket när vi arbetar med informationssäkerhet. Det är viktigt att kommun och landsting involveras då det är dessa som har mest kontakt med invånarna och därför hanterar mycket information. Avsätt gärna 20 minuter till att lyssna på Per genom denna länk. https://youtu.be/uyuujtuic- I Andra värdefulla föredrag var hur Stockholms lokaltrafik hanterar styrningen av informationssäkerhet. Även om våra förutsättningar skiljer sig åt så finns det delar vi kan ta Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, sdh@rfkl.se, www.rfkl.se
Informationssäkerhet i regional samverkan! Nr 9, 2015 Månadsbrev september 2015 efter och anpassa till våra förutsättningar och utmaningar. Det jag främst tänker på är systematik, incidenthantering och krav i upphandling. Mer matnyttigt från konferensen var information om ny lagstiftning, trender, ehälsa och skydd mot skadlig kod. För IT- tekniker och andra intresserade rekommenderar jag att ni lyssnar på MSB/CERT- SE föredrag om ransomware. https://youtu.be/2bskw47yhf8 Ni hittar samtliga presentationer och filmer från konferensen i denna länk, https://www.informationssakerhet.se/om- informationssakerhet- kon/ovning- utveckling/konferensen_informationssakerhet_for_offentlig_sektor_2015/. Länets ledare värnar informationssäkerheten Det finns inte många regioner som har informationssäkerhet på den regionala dagordningen lika ofta som vi i Kalmar län. Samverkan inom informationssäkerhet har pågått sedan 2008, vissa saker har varit bra, annat kunde vi ha gjort bättre. Vi Kalmar län fått uppmärksamhet för vårt arbete med informationssäkerhet och anses ligga långt framme. Utvecklingen sedan 2008 har gått i ett rasande tempo, och så kommer det att fortsätta. Förutsättningarna förändras i takt med denna utveckling och insatserna måste följa de nya utmaningarna, den uppdaterade lagstiftningen och den nya hotbilden. Kommuncheferna diskuterade utvecklingen och formerna för fortsatt samverkan på deras länsträff den andra september. Andra frågor som diskuterades var e- hälsa, e- arkiv och e- tjänsteplattform. Med så många e- på agendan för länets ledande tjänstemän kan vi konstatera att e- utvecklingen är en viktig fråga för länet och att den utgör en viktig kugge i den fortsatta utvecklingen av Kalmar län. Seminarium om EU:s dataskyddsdirektiv Agnes Andersson Hammarstrand är en välkänd IT- advokat och en ofta anlitad föreläsare inom IT- juridik. I bifogad länk kan ni lyssna på henne när hon redogör för EU:s kommande dataskyddsdirektiv. https://youtu.be/whe26- ywrgi. Ladda gärna hem bifogat bildspel så blir det enklare att följa föreläsningen. Är du IT- ansvarig, personuppgiftsombud, chef eller sitter i ledningsgruppen är du definitivt rätt målgrupp. Det är 40 minuter väl investerad tid. Bildspelet finns även på http://rfkl.se/infosak och som en bilaga till detta månadsbrev. Tidningen Dagens Juridik tar även upp dataskyddsförordningen i en artikel den 22 september. http://www.dagensjuridik.se/2015/09/pul- taget- gar- nu- dagens- administrativa- tillrattavisningar- ersatts- med- mangmiljonboter LänsITrådet LänsITrådets medlemmar består av personer med olika roller med ansvar för IT och e- utveckling som IT- chefer, IT- strateger, utvecklare etc. På senaste mötet diskuterades bland annat e- tjänsteplattform, informationssäkerhet och revision. I arbetet med en gemensam e- tjänsteplattform är det viktigt att belysa omfattning och förväntan. Det handlar inte bara om teknik, utan även om organisation, samverkan, tjänsteutbud, integration med andra system liksom informationssäkerhet. En arbetsgrupp fortsätter arbeta med frågan och uppdaterar en avsiktsförklaring som underlag till länets kommunchefer. Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, sdh@rfkl.se, www.rfkl.se
Informationssäkerhet i regional samverkan! Nr 9, 2015 Månadsbrev september 2015 Exsam 1 vill simulera en IT- katastrof Den digitala utvecklingen och samhällets beroende av IT gör att informationssäkerhetsfrågorna är prioriterade när det gäller skydd av samhällsviktig verksamhet. På exsams nätverkträff fördes diskussioner om Sveriges nya säkerhetsskyddslag som avser det mest skyddsvärda, dvs det som är mest kritiskt för Sverige. Vi diskuterade även EU:s dataskyddsdirektiv, vilka olika roller för informationssäkerhet som finns ute i kommunerna och hur den fortsatta samverkan kan utvecklas. Exsam står bakom ett förslag att inom ramarna för länsstyrelsens informations- säkerhetsprojekt upphandla ett koncept för övning av en simulerad IT- katastrof i kommunen. E- arkiv komplettering Sydarkiveras förbundschef och ordförande träffade den primärkommunala nämnden (PKN) och kommuncheferna den andra september för att informera om kommunalförbundet Sydarkivera och förutsättningarna för ett medlemskap. Kommuncheferna efterlyste kompletterande information främst inom områden som juridik, ekonomi och ansvars- förhållanden men även en fråga/svar sida (FAQ) samt presentationsmaterial. Programgruppen för e- arkiv har under september månad arbetet med dessa klargöranden, återkoppling till kommuncheferna beräknas ske denna vecka (v42). Länsstyrelsens RSA Länsstyrelsen som ansvarar för samhällets säkerhet ska varje år genomföra risk- och sårbarhetsanalyser i samhället och avrapportera dessa till staten. En allt mer väsentlig del i detta är säkerhet i elektroniska kommunikationer, e- utveckling och samhällets ökande beroende av IT. Det jag förmedlat till länsstyrelsen denna gång var att insikten och kunskap om informationssäkerheten har ökat och att ett tecken på detta är de relativt nyligen införda rollerna i kommunerna och landstinget avseende samordningsansvar för informationssäkerhet. Jag förmedlade även en bild av inträffade händelser som omfattar störningar inom både telefoni och datakommunikation, och att dessa störningar inte alltid är av teknisk karaktär. Vi kan se problem i dialogen mellan operatören och kunden, dålig uppföljning och oklara ansvarsförhållanden. Andra problem är växande kriminalitet på nätet, skadlig kod, phisingmail och attacker som ddos etc. En till synes mörk verklighet som vi inte blundar för utan snarare bemöter med förebyggande insatser och ökad kunskap. Ytterligare en utmaning är förväntad robusthet i vår egen infrastruktur, det finns fortfarande utmaningar med att skapa en säker och tillförlitlig IT- infrastruktur. Något som visat sig i ett antal negativa händelser under året. Uppföljning av Informationssäkerhet Revisionsbyrån PwC har på uppdrag av kommunrevisorerna genomfört revision av informationssäkerheten i tre av länets kommuner. Min roll vid dessa tillfällen varierar, vid de senare tillfällena har jag intervjuats för att delge min syn på de av revisionerna utvalda delarna. Vid andra revisioner har jag återkopplat på utfallet och vid vissa tillfällen även bidragit i underlaget inför en revision. Den gemensamma kopplingen i alla revisioner är de krav som finns i Svenska standard för informationssäkerhet och hur pass väl kommunerna och landstinget förhåller sig till denna. 1 Exsam är ett nätverk i Kalmar som består av säkerhets och beredskapssamordnare. De arbetar med skydd av samhällsviktig verksamhet i kommuner och landsting. Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, sdh@rfkl.se, www.rfkl.se
Informationssäkerhet i regional samverkan! Nr 9, 2015 Månadsbrev september 2015 Klassar kommunerna samma information lika? Svaret är nej, så är det inte. Ett exempel är kravet på tillgänglighet som en del klassat till en 4:a och andra till en 3:a trots att det är exakt samma typ av information och att den är lika viktigt i båda organisationerna. Det finns flera orsaker till detta, som att det finns två olika modeller och olika syn på hur dessa ska tillämpas. Det behövs en enhetlighet. Nu finns verktyget KLASSA som hjälper oss med detta. Under september träffade jag Mönsterås IT samt deras Social och omsorgsverksamhet för att diskutera frågan. Vi enades om att testa KLASSA under hösten. Därmed gör de Nybro sällskap som också ska testa KLASSA i höst. Likartade styrande dokument och processer för informationssäkerhet Länets IT- chefer och de nya informationssäkerhetssamordnarna genomförde ett arbetsmöte om informationssäkerhet, under arbetsnamnet LISbeth. Vi gick igenom den nyligen upprättade mallen för Informationssäkerhetspolicy, diskuterade gemensamma riktlinjer och KLASSA, liksom inspel på länsstyrelsens informationssäkerhetsprojekt. Den röda tråden är att så mycket som möjligt bör vara på samma sätt eller i alla fall likartat. Vi kan referera till annat arbete i landet som handlar om principer för samverkan. LISbeth har sitt nästa möte den 20 November, kanske har vi då med oss en av initiativtagarna till KLASSA. Länets IT- chefer och informations- säkerhetssamordnare kommer att få en särskild inbjudan. Utan spaning ingen aning - omvärldsspaning Är det ok att logga elevers aktiviteter på nätet? För en tid sedan gjorde jag en enklare undersökning av hur kommuner arbetar med loggning och på vilka incitament loggning och uppföljning får göras. Det jag kan se är att beslut om att loggning ska ske oftast är otydliga och i många fall godtyckliga. Det måste finnas tydliga regler och medvetna beslut om och på vilket sätt loggning ska och får ske. Västerås stad uppmärksammades i media för deras loggning av elevers aktivitet på nätet. http://sverigesradio.se/sida/artikel.aspx?programid=112&artikel=6255072 Kartlägger ni era besökares surfmönster? Många kommuner och landsting gör det, vara ett fåtal i Kalmar län. De flesta organisationerna rättar nu till problemet. Det är vissa delningsfunktioner på hemsidan som identifierar surfmönster. I vissa fall säljs dessa vidare i kommersiellt syfte. http://www.dn.se/ekonomi/efter- dns- granskning- kommuner- sluta- spara- dig- pa- natet/ Skola - Elevers information måste skyddas bättre Förvaltningsrätten och Datainspektionen slår fast att elevers utvecklingsplaner är integritetskänsliga och därmed ska omfattas av krav på stark autentisiering. För mig är det en självklarhet, de flesta kommuner hanterar detta på ett bra sätt. Intressant att en kommun prövar ärendet så långt, det handlar ju ytterst om att skydda eleverna. http://www.datainspektionen.se/press/nyheter/2015/losenord- racker- inte- for- integritetskansliga- elevuppgifter/ Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, sdh@rfkl.se, www.rfkl.se
Informationssäkerhet i regional samverkan! Nr 9, 2015 Månadsbrev september 2015 Allvarliga virusattacker är ett hot mot våra liv I förra brevet skrev jag om skadlig kod, men känner att det måste upprepas. Det sker en närmast lavinartad ökning av Cryptolocker, dvs en skadlig kod som krypterar filer och där angriparen vill ha pengar för att låsa upp filerna. Under september riktades mängder av angrepp mot privatpersoner och åtskilliga kommuner i landet drabbades. Om detta drabbar sjukvården eller andra samhällsviktiga system är det riktigt illa. http://www.sydostran.se/ledare/allvarliga- virusattacker- hot- mot- vara- liv/ http://computersweden.idg.se/2.2683/1.638026/ransomware- vaxande- hot http://www.hd.se/lokalt/helsingborg/2015/09/25/virusattack- mot- helsingborg- och- hoganas/ Zlatan på topp Vi är ju vana vid att ha Zlatan på topp, men detta hade i alla fall inte jag väntat mig. I en sökning på Zlatan innehåller var tionde träff skadlig kod.. http://www.svt.se/nyheter/inrikes/zlatan- smittar- mest- i- hela- sverige Några av mina aktiviteter i oktober är följande; Nybro om KLASSA och krav i avtal Kalmar avstämning ev IT- Arkitektur, SKL LänsITråd Länsstyrelsens infosäk projekt Göteborg, informationssäkerhet för ledningen Har du synpunkter eller förslag på innehåll i kommande månadsbrev så får du gärna höra av dig till mig. Hälsningar Stephen Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, sdh@rfkl.se, www.rfkl.se
EUs nya personuppgiftslagstiftning Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå
Ny personuppgiftsförordning - en fråga för alla 2
Agenda Personuppgiftslagen idag Nya lagen - bakgrund De största förändringarna Sammanfattning 3
Personuppgiftslagen i Sverige 4
Personuppgiftslagen (PuL) Nationell lag baserad på EU-direktiv Minimiregler Annan lagstiftning gäller före Personuppgifter Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en fysisk person 5
Personuppgiftsansvarig Den som bestämmer ändamål och medel med personuppgifter är personuppgiftsansvarig Ansvarar för att lagen uppfylls 6
PuL idag i korthet Behandlingen behöver vara tillåten Samtycke, Nödvändig för vissa angivna ändamål, eller Intresseavvägning Krav som ska uppfyllas Grundläggande krav på behandlingen, t.ex. korrekthet, gallra, rensa Information till den registrerade Krav på skriftligt avtal mellan företag som delar uppgifter Överföring till andra länder Anmälningskrav och/eller utse ett personuppgiftsombud Säkerhetskrav 7
Säkerhetsåtgärder i nuvarande PuL 31 Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. 8
Säkerhetskrav Tekniska åtgärder Antivirus och auktorisationskrav Brandväggar och krypteringsfunktioner Känsliga uppgifter Sekretess Specialkrav Uppgifter om brott Osv. Organisatoriska åtgärder Organisation och rutiner Instruktioner och Polices Säkerhetsnivå 9
Reformen förslag till ny personuppgiftslag 10
Nya lagstiftningen Ersätter Personuppgiftslagen (PuL) i Sverige och motsvarande lagar i alla EU-länder Förordningen gäller direkt som lag i alla EU-länder Enklare att följa lagen, en tillsynsmyndighet att förhålla sig till De nya reglerna kan bli verklighet redan år 2016 Antas tidigast i vår/höst. Träder i kraft två år efter antagande Syfte: Stärka integritetsskydd En enda gemensam lag förutsebarhet och underlätta handel inom EU 11
Viktigaste ändringarna 12
Hårdare sanktioner Allvarliga brott kan ge vite upp till det större beloppet av 5 % av en koncerns årliga världsomspännande omsättning; eller 100 MEUR Vitet bestäms utefter hur allvarligt brottet är Ett stort antal brott har listats som allvarliga brott, t.ex. att Inte inhämta samtycke när så krävs Inte informera om dataintrång i tid Inte anta interna policys eller inte implementera lämpliga åtgärder för att tillse och visa uppfyllelse av villkoren 13
Utökat ansvar och krav på säkerhet Huvudregeln om att vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå blir kvar. Uttryckliga krav på att skydda personuppgifter från att förstöras EU-kommissionen ges makt att precisera kraven Förordningar om säkerhet även för specifika sektorer 14
Privacy by design Säkerhets- och integritetsaspekter ska tas hänsyn till redan vid planering och utveckling av IT-system Den som är personuppgiftsansvarig ska ställa kraven = Ökade krav vid IT-upphandlingar Kommissionen får fastställa förordningar om tolkningen samt tekniska standarder System ska ha vissa grundinställningar 15
Privacy by design livscykeln för information Grundinställning 2: Uppgifter ska inte lagras längre än minimiperiod som är tillåten för det ändamålet Respekt för användare: transparens möjliggöra utlämnande Grundinställning 1: Enbart de personuppgifter som är nödvändiga för varje specifikt ändamål för behandling får behandlas Infrastruktur som möjliggör tillgång till, korrigering och radering av personuppgifter 16
Informationskrav vid personuppgiftsbrott Informera om allvarliga incidenter (dataintrång) utan oskäligt dröjsmål Informera tillsynsmyndigheten: Som huvudregel: Inom 24 timmar efter intrånget Informera varje registrerad individ Undantag: om har system för att göra de förlorade uppgifterna oläsbara Organisationer måste stärka sina säkerhetsåtgärder Använda tekniker för att främja skydd för personuppgifter Rutiner och system för information och radering vid intrång 17
Data portability underlätta att flytta uppgifter mellan olika leverantörer Individer ska lättare kunna överföra uppgifter från ett system (företag) till ett annat system (företag) Krav på företag hur de ska tillhandahålla uppgifter (t.ex. strukturerat format) så kunden ska kunna ha nytta av uppgifterna 18
Rätten att bli bortglömd Minimera volymen av sparade personuppgifter Krav på att radera - om ingen legitim grund för fortsatt behandling finns Radera mina uppgifter Legitima grunder för att behålla uppgifterna? NEJ JA RADERA BEHÅLL 19
Uppgiftsskyddsombud Speciell anställd med ansvar för personuppgiftshantering Särskilt skydd mot uppsägning under 4 år Behandlar > 5 000 personer/år (250 anställda) Eller att systematisk övervakning, hantering av känslig data eller liknande ingår i huvudverksamheten Central roll i att ansvara för efterlevnad av reglerna 20
Sammanfattning praktiska förändringar och möjligheter 21
Praktiska förändringar Ökat fokus på integriteten (höga viten) Initiala kostnader? Nya system kan krävas Databaser kan bli oanvändbara Personal behöver utbildas och rutiner ses över Ökade krav på förebyggande åtgärder Dokumentation över hur reglerna följs Företag med över 250 anställda får mer utryckliga krav på sig 22
Nya möjligheter? Möjligheter för leverantörer: Krav på nya system utvecklade bl.a. efter privacy by design och rätten att bli glömd Enklare för företag: Enklare att etablera sig utomlands En tillsynsmyndighet att förhålla sig till Färre anmälningskrav 23
Utestående frågor Stort utrymme till kommissionen att tolka förordningen Datainspektionens makt De svenska registerförfattningarna utrymmet för specialreglering Relationen med USA och omvärlden 24
Kontakt Agnes Andersson Hammarstrand Advokat, Senior Associate T: +46 31 701 1718 M: +46 730 83 50 70 E: agnes.a.hammarstrand@setterwalls.se IT_advokaten på twitter