Nyhetsbrevet om informationssäkerhet sommaren 2016

Relevanta dokument
Västkom. Göteborg 18 november Del 1 av 2. Stephen Dorch, ISMP

Förslag till verksamhetsplan 2014 för informationssäkerhetsarbete

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet i regional samverkan! Nr 11 & 12, 2015 Månadsbrev november & december 2015

Trygghetsmätning Höör Sammanfattning

Informationssäkerhetspolicy inom Stockholms läns landsting

Allt skall upplevas korrekt.

Dialogmöte i Karlskrona november 2014

Trygghetsmätning - vad är det?

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Bilaga 2. Förtroendeuppdrag efter facknämnd och efter kön 2011 (ANTAL) i kommuner

Välkommen till enkäten!

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhetspolicy för Ystads kommun F 17:01

BUSS 1 START I VÄSTERVIK

Strukturerad informationshantering

Betydelsen av lokalt företagsklimat

Ledningssystem för Informationssäkerhet

Policy för informationssäkerhet

Informationskartläggning och Säkerhetsklassning

Ledningssystem för Informationssäkerhet

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy. Linköpings kommun

EU Dataskyddsförordning Trygghetslarm Osh. NanoLearning LänsITrådet. RSA messenger NIS och KIS möte

Mats Porsklev, sekreterare Magdalena Nordin, tillsynsarkivarie Elin Jonsson, bevarandestrateg

Förvärvsarbetande 16+ år (dagbefolkning) efter (5-siffrig SNI2007) region och tid

earkiv Kalmar län Slutredovisning av projektet och dess resultat Anki Heimonen, projektledare 1

Myndigheten för samhällsskydd och beredskaps författningssamling

I Central förvaltning Administrativ enhet

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Svensk författningssamling

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Ingegerd Lenander (KD) Bo Johansson (S), Ronneby tjg. ers. Mats Porsklev, sekreterare Magdalena Nordin, tillsynsarkivarie

Samverkansöverenskommelse om personer med psykisk funktionsnedsättning, psykisk ohälsa i Kronobergs län

Samordning av insatser för habilitering och rehabilitering. Överenskommelse mellan Stockholms läns landsting och kommuner i Stockholms län

Kommunalförbundet Sydarkivera. Möte med kommuner i Kalmar Län den 2 september 2015

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Wäxthuset HVB har Ramavtal med; Hela Kriminalvården och Frivården

LEDNINGSSYSTEM FÖR SYSTEMATISKT KVALITETSARBETE, SOSFS 2011:9

Årsrapport Itincidentrapportering

Tillgänglighet på biblioteken. No.2: Bibliotek:

Länsgemensam ledning i samverkan

Länsgemensam ledning i samverkan

Student vid Linnéuniversitetet 2010

Policy för informations- säkerhet och personuppgiftshantering

Kommunmottagna enligt ersättningsförordningen 2015 (jan-apr) i Småland och Blekinge uppdelad på län/kommun och kategori

Mats Porsklev, sekreterare Magdalena Nordin, tillsynsarkivarie Elin Jonsson, bevarandestrateg

Platser som beslutats av Polismyndigheten efter särskild prövning enligt 3 lagen (1980:57) om ordningsvakter (LOV)

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Hur avgörs optimal vårdnivå utifrån patientens förutsättningar?

kirei Kvalitetsgranskning DNSSEC Rapport Regionförbundet i Kalmar län Kirei 2012:13 10 januari 2013

Informationssäkerhetspolicy

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Egenvård, samverkan kommun och landsting i Uppsala län

Verksamhetsplan Informationssäkerhet

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Sammanställning 1. Bakgrund

Myndigheten för samhällsskydd och beredskaps författningssamling

Folktandvården. Landstinget i Kalmar län

Rutin fö r samverkan i samband med egenva rd mellan Regiön Krönöberg öch la nets söcial- öch skölfö rvaltningar

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Västra Götalandsregionens stöd till Informationssäkerhetsprogram Riktlinjer för sökande kommuner

Datum för anslags nedtagande

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Krisberedskap - Älvsbyns kommun

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Regional ledningssamverkan

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Projekt Informationssäkerhet

SOSFS 2014:xx (S) Utkom från trycket den 2014

Platser som beslutats av Polismyndigheten efter särskild prövning enligt 3 lagen (1980:57) om ordningsvakter (LOV)

Justitiedepartementet Stockholm

Kontinuitetshantering i vård och omsorg

Nationell risk- och förmågebedömning 2017

Styrande dokument. Styrdokument för krishantering Oskarshamns kommun. Fastställd av Kommunstyrelsen , 97

Projektplan Samordnad vårdplanering

Bilaga till rektorsbeslut RÖ28, (5)

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Lokalt företagsklimat Ranking 2017

Myndigheten för samhällsskydd och beredskaps författningssamling

Sammanfattande omdöme på företagsklimatet i kommunen Kalmar län

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Samverkansöverenskommelse med landstinget. med landstinget gällande personer med psykisk funktionsnedsättning

Mer information om arbetsmarknadsläget i Kalmar län i slutet av oktober månad 2012

Mer information om arbetsmarknadsläget i Kalmar län i slutet av september månad 2012

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Sammanfattande omdöme på företagsklimatet i kommunen Kalmar län

Informationssäkerhetspolicy

Transkript:

Nyhetsbrevet om informationssäkerhet sommaren 2016 Samverkan Informationssäkerhet i Kalmar län I Kalmar län samverkar tio kommuner och regionförbundet i informationssäkerhetsfrågor. Nyhetsbrevet syfte är att sprida information till parterna. Tidigare nyhetsbrev hittar du här: http://rfkl.se/sv/verksamheter/it_infosakerhet/informationssakerhet/nyhetsbrev/ Hoppas att ni har haft en lika fin sommar som jag och njutit av ledigheten. Jag hoppas också att ni klarat er från sommarens alla ID-kapningar, synat bedrägeriförsöken och inte gått på något av de allt mer sofistikerade mailen och bluffakturorna som ni kan läsa om i omvärldsbevakningen. Spelat Pokém Go? Det har inte jag, men jag är förundrad över genomslaget, och ser både risker och stora vinster. Vi går en spännande framtid till mötes när det fiktiva möter det verkliga! Vad händer i höst? Nu har augusti passerat och det är full fart. Det sker många spännande aktiviteter denna höst, anställda i kommunerna kommer att erbjudas webbutbildning i informationssäkerhet och ett 60-tal personer kommer att utbildas genom en särskild lärarledd femdagars utbildning. Våra politiker och högre chefer inbjuds till strategiska rundabordssamtal till gagn för ledning och styrning med nationella gäster. Under oktober månad och tre år framåt finns möjligheten att avropa konceptet att öva en allvarlig IT-incident. Övningen omfattar hela krisledningsorganisationen och ger förutom goda kunskaper i informationssäkerhet även underlag för att upprätta en katastrofplan för IT. Dessa insatser görs inom ramarna för det 3-årsprojekt som finansieras av MSB och som ägs av länsstyrelsen. Projektet avslutas i höst. Utöver detta genomförs kontinuerliga möten där vi tillsammans arbetar med styrande dokument samt diskuterar processer och rutiner för informationssäkerhet. Under tidiga hösten kommer jag att besöka samtliga kommuner för att diskutera mål och insatser för den enskilda kommunen, detta som en del av planering för verksamhetsplan 2017 och 2018. Arbetet med KLASSA fortsätter i höst bland annat i Oskarshamn och Nybro. KLASSA är ett verktyg för klassificering och upprättande av handlingsplan för informationssäkerhet, ett verktyg som kommunerna i samverkan med SKL utvecklat och utvecklar. Version två av KLASSA lanseras i höst. Månadsbrev blir nyhetsbrev Som ni kanske märkt var det ett tag sedan senaste månadsbrevet, vilket har sin förklaring i brist på tid och prioritering, men också i brist på substans, om de kommer för ofta blir de allt för lika. Därför byter jag ut månadsbrevet mot nyhetsbrev, vilket innebär att det kan komma mer sällan, eller oftare, och inte nödvändigtvis vid månadsskiftet. Ambitionen är att skriva cirka 7-8 nyhetsbrev per år. Genomförda aktiviteter juni-augusti 2016 LISbeth, samverkansmöte för utveckling av styrande dokument och processer KLASSA i Emmaboda kommun Möte med MSB NanoLearning, webbaserat lärande, leverantörsmöte med kommuner Planering för att öva en IT-katastrof RSA årlig rapport earkivdag

Månadsbrev Informationssäkerhet april 2016 Nr 4, 2016 2 Informationssäkerhetssamordnare i din kommun Nu har jag fått klart med vem som har fått uppdraget att ansvara för samordningen av informationssäkerhet i respektive kommun. Det innebär i praktiken att det är i första hand dessa personer som blir mina kontaktpersoner och som jag förväntas stödja, min samverkan med länets IT-chefer och IT-strateger fortsätter dock på samma sätt som tidigare. Samordnare för informationssäkerhet i respektive kommun är: Västervik Vimmerby Hultsfred Högsby Oskarshamn Fredrik Carlsson Richard Duncranz Stefan Wittlock Fredrik Sandqvist Lars Blomberg Mönsterås Kalmar Nybro Emmaboda Torsås Claus Kempe Christina Karlberg Peter Tinnert Henrik Andersson Karina Haferbier Även Landstinget och Ölandskommunerna har utsedda resurser, ingår dock ej i samverkan. Grundkurs och fortsättningskurs i Informationssäkerhet Informationssäkerhetssamordnare och andra roller med ansvar for informationssäkerhet och som förväntas ge andra stöd i kommunen erbjuds en bra grund- och fortsättningsutbildning i informationssäkerhet. Om ni är nyfikna på dessa så finns de publicerade på denna länk, http://rfkl.se/sv/verksamheter/konferenser/. Notera att ni bör stämma av er medverkan med er informationssäkerhetssamordnare då det bara finns tre platser per organisation. Kurserna genomförs vid två ställen, ett i norra och ett i södra länet. Grundkurs - 11-13 oktober på Skansen i Färjestaden - 18-20 oktober på Gränsö i Västervik Fortsättningskurs - 23-24 november på Skansen i Färjestaden - 30 november till 1 december på Gränsö i Västervik Kort rapport från nätverksträff med MSB och andra myndigheter Myndigheten för samhällsskydd och beredskap har ett nätverk för informationssäkerhet där regioner, kommer och landsting ingår, men även myndigheter som datainspektionen och socialstyrelsen med flera. Jag har varit med i denna samverkan sedan starten vilket bidragit till många bra kontakter som jag dragit nytta av i mitt arbete. Vi träffades i juni och fick bland annat en dragning om hur MSB avser att hantera den sedan april i år obligatoriska incidentrapporteringen för myndigheter. Läs om detta i rubrikerna nedan. Myndigheters incidentinrapportering info från MSB nätverksträff Ett syfte med obligatorisk rapportering är att åstadkomma en samlad bild över aktuellt läge. Vi behöver öka samhällets förmåga att avvärja, begränsa och lära av inträffade händelser samt återföra erfarenheter i förebyggande insatser. De drabbade myndigheterna har 24 timmar på sig att rapportera in händelsen, dock utan särskild djupgående innehåll. Initialt kom det in cirka fem rapporter i veckan indelade i kategorier som t.ex drift, angrepp och handhavande, åtkomst, infrastruktur etc. En händelse kan rapporteras in till flera kategorier. En fråga gällde sekretessbestämmelserna vid utlämningsärenden där MSB menar att informationen omfattas av absolut sekretess, de menar att uppgifterna måste fredas och att det vid ett utlämnande riskerar att orsaka skada och förhöjd risk för samhällets säkerhet. Ett sådant ärende prövades i somras av kammarrätten som gav MSB rätt då en nyhetsbyrå ville ha ut rapporterna. Läs mer här: http://www.dagensjuridik.se/2016/08/rapporter-om-it-attacker-mot-myndigheter-hemliganyhetsbyra-forlorar

Månadsbrev Informationssäkerhet april 2016 Nr 4, 2016 3 Ny föreskrift i hälso- och sjukvården HSLF-FS 2016:40 info från MSB nätverksträff Föreskriften gäller för all hälso- och sjukvård, även för kommunal vård och omsorg. Den beslutades i april och ska vara införd mars 2017. Författningen ersätter SOSFS 2008:14 som upphävs. Författningen har stor betydelse på informationssäkerheten i kommunen där kraven på ledningssystem, informationssäkerhetspolicy, riskanalyser och dokumentation är tydliga och att det ska utses ansvariga personer för samordning av informationssäkerheten. Här hittar ni den nya föreskriften: http://www.socialstyrelsen.se/lists/artikelkatalog/attachments/20165/2016-4-44.pdf Även myndigheter har fått ny föreskrift MSBFS 2016:1 info från MSB näverksträff Även om föreskriften omfattar statliga myndigheter, så är den tillämpbar för de i kommunen som ansvarar för krisberedskapen. Föreskriften gäller från april i år och ersätter MSBFS 2009:10. I 5 är kravbilden solklar; Varje myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen. Här finns föreskriften: https://www.msb.se/externdata/rs/b74a7b16-36a5-4de8-8f15-1297c37f1324.pdf Earkiv vad händer nu? Tidigare har ett länsgemensamt projekt om earkiv genomförts och som en del i det fortsatta arbetet genomfördes en informationsdag om earkiv i Oskarshamn. Kommunalförbundet Sydarkivera berättade om arbetet med att skapa ett gemensamt arkivsystem. Nuvarande anslutna är Alvesta, Ljungby, Lessebo, Karlshamn, Karlskrona, Markaryd, Ronneby, Tingsryd, Växjö, Älmhult och Region Blekinge. På väg in är Bromölla, Hässleholm,Höör, Kristianstad, Olofström, Osby, Oskarshamn, Vimmerby och Östra Göinge. Avsiktsförklaring har tecknats av Hörby och Åtvidaberg, det har även diskuteras hos ytterligare en kommun i Kalmar län. Sydarkivera har i januari 2017 inte mindre än 20 medlemmar, och ser ut att växa ytterligare. Oskarshamn berättade om det mervärde de fått ut sedan de tecknat avsiktsförklaringen och hur de ser på att ingå i medlemskapet. Kalmar kommun berättade om deras planer med att skapa ett gemensamt pappersarkivet tillsammans med ett par kommuner och länsstyrelsen. Frågan om earkiv är viktig men tas först efter det att pappersarkivet är färdigbyggt. Läs mer om Sydarkivera här: https://sydarkivera.se/ Utan spaning ingen aning! Ygeman oroad av IT-hot i småkommuner Inrikesminister Anders Ygeman (S) oroas av den aktuella frågan om IT-hot. Han tror att särskilt små kommuner är sårbara. http://vlt.se/nyheter/omvarlden/1.4036800-ygeman-oroad-av-it-hot-i-smakommuner Har du koll på vem som mailar dig? Är det verkligen chefen? Ett fejkat mail som såg ut att komma från en kommunal chef innehåll ett erkännande om tjänstefel i behandling av ett ärende. Men allt var bluff. Det var ett fejk-mejlet utifrån vilket kunde göras utan dataintrång hos kommunen. http://sverigesradio.se/sida/artikel.aspx?programid=114&artikel=6491946

Månadsbrev Informationssäkerhet april 2016 Nr 4, 2016 4 Polisen går nu ut och varnar för så kallade vd-bedrägerier, alltså bedragare som utger sig för att vara höga chefer för att få anställda på ekonomiavdelningar att betala ut stora summor pengar. Bara den senaste månaden har ett tio-tal fullbordade bedrägerier drabbat företag i Västernorrlands och Västerbottens län. http://www.svt.se/nyheter/lokalt/vasternorrland/flera-drabbade-av-vdbedragerier Är utdragen ur belastningsregistret äkta? Om du är tjuv och vill ha ett fläckfritt förflutet så fanns tidigare möjligheten att köpa ett blankt belastningsregister utan besvärande anteckningar på nätet för 220 kronor. Kriminella kan alltså tvättas från gamla synder och visa upp fett fläckfritt förflutet för presumtiva arbetsgivare. Artikeln är läsvärd: http://www.gp.se/nyheter/g%c3%b6teborg/polisen-han-s%c3%a5lde-blankabelastningsregister-till-kriminella-1.3731277 Trots att vi lägger mer pengar på säkerhet ökar incidenterna Virus, ransomware och ddos-attacker stå som spön i backen. Inte konstigt då att budgetarna för informationssäkerhet växer. I år väntas världens företag tillsammans spendera 700 miljarder kronor på produkter och tjänster som ska skydda dem från it-hoten. En ökning med 7,9 procent från förra året. http://computersweden.idg.se/2.2683/1.663195/fordelning-pengar-sakerhet Men lik f-b så drabbas enskilda, se exempel nedan: Fejkad kärlek på nätet Antalet anmälda bedrägeribrott har ökat med drygt 20 procent i år. Ett nytt tillvägagångssätt är att skapa en fejkad kärleksrelation via sociala medier och sen lura offret på pengar. http://sverigesradio.se/sida/artikel.aspx?programid=93&artikel=6501147 Datorbedrägerier har ökat lavinartat bestals på en kvart miljon Datorbedrägerier har ökat kraftigt i år. I sex av tio fall handlar det om stulna kortuppgifter. Brotten är svåra att utreda eftersom det är många led som måste hinnas på en väldigt begränsad tid. http://www.expressen.se/gt/datorbedragerier-har-okat-lavinartat/ En person blev av med 250 tkr efter att ha gått på en Microsoftbluff, - Hela datorn havererade när de ringde från vad jag trodde var Microsoft http://www.svd.se/bestals-pa-kvarts-miljon-trodde-det-var-microsoft/om/naringsliv Många kommuner drabbas av porr i sociala medier Det har dykt upp porrbilder på olika städers hashtags runt om i landet, vilket är svårt att skydda sig mot. Sociala medier bygger på öppenhet och delaktighet, enskilda ska kunna skriva och uttrycka sig, skapa debatt och påverka. Tyvärr missbrukas detta av då det under sommaren blivit vanligt med hashtags till oetiskt material. Det är svårt att skydda sig mot detta, det handlar ju inte om intrång, snarare om brist på respekt och att man inte följer reglerna. Drabbade är bland annat Varbergs, Nyköping, Norrköping och Växjö kommuner, säkerligen många fler. http://sverigesradio.se/sida/artikel.aspx?programid=128&artikel=6497465 http://sverigesradio.se/sida/artikel.aspx?programid=91&artikel=6496700 Släkting kollade journal 60 gånger Det är alldeles för enkelt för obehöriga att titta på patientjournaler. Det anser en person som kunnat se hur en släkting - anställd inom sjukvården men utan vårdansvar för honom - gått in i hans journal över 60 gånger. http://sverigesradio.se/sida/artikel.aspx?programid=114&artikel=6496453

Månadsbrev Informationssäkerhet april 2016 Nr 4, 2016 5 Filmat barn i kommunen får skadestånd Kommunen ska betala 10 000 kronor i skadestånd efter att en förskolelärare filmat ett barn. Förskolläraren filmade barnet när hen fick ett utbrott och hotade att visa filmen för barnets mamma. Personalen ska också ha använt hårt tonläge mot barnet. http://sverigesradio.se/sida/artikel.aspx?programid=128&artikel=6468258 Använde kollegors konton vid planerat intrång i jornaler En läkare åtalas bland annat för grovt dataintrång efter att olovligen ha tagit del av patientjournaler för 392 patienter. Läkaren kom åt journalerna genom att använda kollegers användarkonton. Hen skaffade sig också administratörsbehörighet och skapade nya konton. För att försöka att inte bli upptäckt använde hen sig av så kallade VPN-tunnlar för säker dataöverföring. http://www.lakartidningen.se/aktuellt/nyheter/2016/06/atalas-for-intrang-i-patientjournaler/ Hörde om detta på mitt möte med MSB, plötsligt fick uttrycket läkare utan gränser en helt ny innebörd ;-) Utvalda aktiviteter september: ITIL utbildning i Oskarshamn, 6-8/9 Planering informationssäkerhetsutbildning 9/9 Nätverksträff för Sveriges kommuner, KIS 13/9 Nationell informationssäkerhetskonferens, 14-15/9 LISbeth, styrande dokument och processer 16/9 KLASSA i Nybro och Oskarshamn 19/9 och 23/9 ehälsa, digitalt stöd i hemmet 21/9 LänsIT och exsam, 22/9 Kommunbesök informationssäkerhet 26-30/9 Har du synpunkter eller förslag på innehåll i kommande månadsbrev så får du gärna höra av dig till mig. Hälsningar Stephen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss