Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Relevanta dokument
SÄKERHETSLÄGET. för svenska små och medelstora företag 8 december, Check Point Software Technologies Ltd.

Din guide till en säkrare kommunikation

Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

Handledning i informationssäkerhet Version 2.0

Bilaga 1 - Handledning i informationssäkerhet

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

It-hälsa inom företag och offentlig sektor

Svenskarnas syn på IT-säkerhet

IPv6. MarkCheck. Maj 2012

Policy för användande av IT

IT-policy Scenkonst Västernorrland AB

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

JIL Stockholms läns landsting i (6)

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Ta kontroll över informationssäkerheten

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Smarta företag

Säkerhetspolicy för Sandvikens kommun

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Webbaserad självbetjäning

Säker e-post Erfarenheter från Swedbank

Säkra trådlösa nät - praktiska råd och erfarenheter

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

Tjänster för elektronisk identifiering och signering

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

HUR MAN LYCKAS MED BYOD

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

IT-säkerhet Externt och internt intrångstest

Affärsjuridik enligt Lindahl

Guide inför ett. storageprojekt. Viktiga överväganden inför lagringskonsolidering

Att Säkra Internet Backbone

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Hej, Jag heter Fredrik Björck. Jag ansvarar för forskning och utbildning inom cybersäkerhet och digital forensik vid Stockholms universitet.

MED ISO KAN TEAMENGINE MÖTA ÖKADE KUNDKRAV OCH EFTERLEVA GDPR

E-strategi för Strömstads kommun

Nulägesanalys för <kommun> kring grundläggande förutsättningar verksamhet, brukare och personal.

Säkerhetspolicy rev. 0.1

Kommunens författningssamling

Smarta företag. En undersökning genomförd av TNS Sifo på uppdrag av Cisco och TeliaSonera Smarta företag TNS

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

SÄKRA UPP OCH ADMINISTRERA DINA MOBILA ENHETER Freedome for Business

Informationssäkerhet

Hur gör man ett trådlöst nätverk säkert?

Informationssäkerhetsanvisningar Förvaltning

Säkerhet och förtroende

Så här behandlar vi dina personuppgifter

Nyhetsbrev december 2011

Telenor Mobility Report 2012

5 frågor som hjälper dig i valet av redundant lösning

Köpguide för mobila växlar. Modern telefoni till företaget är långt ifrån vad det var för bara några år sedan.

Säker IP telefoni? Hakan Nohre, CISSP

Informationssäkerhet

Generell IT-säkerhet

Myndigheten för samhällsskydd och beredskap -MSB. Ann-Marie Alverås Lovén Chef CERT-SE, Sveriges Computer Emergency Response Team

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

KARTLÄGGNING: Så ser vardagen ut för IT-CHEFER. Du förtjänar bättre. Gör slut med dålig it.

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Enkel Säkerhetspolicy för Mobila enheter

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Säkerhet i industriella informations- och styrsystem

Trafiksäkerhet i bussbranschen

Internet och sociala medier. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef,.se

Trender inom Nätverkssäkerhet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

VI VILL BYGGA NÄSTA GENERATIONS BLÅLJUSNÄT

Regeringens mål för IT-politiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

Vem tar ansvar för Sveriges informationssäkerhet?

Modernt arbete kräver moderna verktyg

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Integritetspolicy Torget Getupdated AB / Getupdated Sverige AB

Krisledning & kommunikation i kritiska lägen. Segla lugnt efter storm

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

GÖTEBORG IT Trender och tendenser

VEM TAR IT-RISKEN. Lars Gunnerholm CISA CISM

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

IT i kommunerna 2014 KommITS & Tieto

Datasäkerhet och integritet. Juridiska frågor

Bisnode LÖSNINGAR OCH INSIKTER FÖR SMARTA BESLUT

Självbetjäningssupport 2009

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

Så här behandlar vi dina personuppgifter

Drift och underhåll av kommunens webbsida

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

SVENSKARNA OCH IOT INTERNET OF THINGS HISS ELLER DISS FRÅN SVENSKARNA?

Så här behandlar vi dina personuppgifter

Förstudie: Övergripande granskning av ITdriften

EN HELHETS LEVERANTÖR ELLER MÅNGA SMÅ?

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Den digitala rånaren - och hur vi skyddar oss

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Datum Vår referens Sida Dnr: (6) Handlingsplan för ett säkrare Internet i Sverige

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

DET ÄR MÄNNISKOR SOM SKAPAR SÄKERHETEN

Transkript:

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

De senaste åren har ett antal offentliga myndigheter blivit utsatta för hot och olaga intrång i sina IT-system. Inte minst Regeringskansliet och Säpo, fall som blivit mycket uppmärksammade i media. IPnett, som är en av landets främsta leverantörer av ip-baserade kommunikationslösningar, ville ta reda på om dessa fall tillhörde undantagen, eller om det råder en allmän brist på tillförlitlig IT-säkerhet inom offentlig förvaltning i Sverige. Enkäten har besvarats av 210 ITansvariga inom offentlig förvaltning över hela landet. I den här rapporten följer en sammanställning av svaren. För att undersöka detta genomförde företaget 2013 en enkätundersökning bland IT-personal inom offentlig sektor.

Undersökningen 1. 2. Hur trygg känner du dig i att dina trådlösa och trådbundna nätverk klarar olaga intrång? Mycket säker, 81% Helt säker, 13% Osäker, 6% Helt osäker, 0% Har ni implementerat verktyg, program och hårdvara för att undvika säkerhetsproblem med användandet av egna smarta mobiler, datorer eller surfplattor? En falsk trygghet? Hela 94% känner sig trygga i att verksamhetens trådlösa och trådbundna nätverk ska klara olaga intrång. Samtidigt har 24% inte implementerat några verktyg för att undvika säkerhetsproblem kring anställdas användande av egna smart phones, datorer eller surfplattor. Trots att man är medveten om riskerna är det få som uppdaterat säkerheten, vilket kan bero på resursbrist och/eller att man prioriterar annat. Innan den egna organisationen råkat ut för en säkerhetsincident kanske man tänker Det händer inte oss - som att man inte köper ett villalarm innan man en gång haft inbrott. Och även inom organisationer som högprioriterar säkerhetsfrågor kan det hända att man använder gamla system. IT-säkerhet är en komplex fråga, eftersom IT-miljön ständigt förändras. I synnerhet problemet med att anställda har med sig egna enheter (smart phones, surfplattor, etc.) är svår att hantera och skapar säkerhetsrisker som många organisationer ännu inte har hunnit åtgärda eller inte vet hur de ska hantera. Ja, heltäckande, 71% Delvis, 2% Inte alls, 24% Övrigt, 3% Det här är komplexa frågor, i synnerhet då IT-miljön ständigt förändras. Det måste ställas högre krav inom den offentliga sektorn att ITchefer får rätt hjälp och resurser för att kunna säkra upp IT-strukturen. Olof Ferenius, VD IPnett Sverige

3. 4. Vilket är det största IT-säkerhetshotet ni ser idag? Anställda följer inte säkerhetspolicyn, 44% Anställda tar med egna enheter, 16% Olaga intrång i nätverket, samt skadlig kod, 24% Vet ej, 6% Vill ej svara, 2% Virus, 4% Övrigt, 4% Hur många säkerhets och nätverksincidenter har ni haft under de senaste 24 månaderna som har påverkat verksamheten? Säkerhetspolicyn meningslös utan fungerande verktyg 44% av organisationerna anser att det största IT- säkerhetshotet idag är att anställda inte följer säkerhetspolicyn. Samtidigt har 57% av organisationerna inte implementerat lösningar för att anställda ska följa säkerhetspolicyn. Det går inte att förlita sig till en policy, utan att även implementera verktyg som säkerställer att policyn efterlevs. Det är dessutom avgörande att policyn uppdateras och anpassas till dagens samhälle, och att den inte försvårar arbetet för de anställda. Ponera t ex att det finns en policy att inte tillåta anställda att komma åt mail och dokument på sin läsplatta eller telefon; då kan det hända att anställda är kreativa och lägger in en outlook-regel om att vidarebefordra e-mailen till en webmail. Detta kan då ses som ett exempel på en kontraproduktiv säkerhetspolicy där företagsinformation skickas iväg till utländska e-mailproviders, snarare än att hanteras direkt mellan den egna IT-miljön och användarens egen enhet. Organisationer behöver en tydlig policy med effektiva verktyg, som samtidigt inte står i vägen för medarbetares dagliga arbete. 5-10 st, 3% <5, 17% Ingen översikt, 22% Ingen incident, 51% Vet ej, 1% Vill ej uppge, 5% Övrigt, 1% Få har övergripande koll 22% av de tillfrågade har ingen koll på hur många säkerhets- och nätverksincidenter de har haft som påverkar verksamheten. Det saknas ett strukturerat helhetsgrepp om IT-miljön. Många har lösningar som inte hänger ihop och gör det svårt att få överblick. Det krävs att resurser allokeras för att harmonisera IT-miljön samt aktivt arbeta med verktyg och system som styr och följer upp IT-säkerheten både ur ett hårdvaru- och mjukvaruperspektiv. 5. Använder ni kryptering i ert nätverk för att säkra data som transporteras? Ja, 48% Nej, 14% Vet ej, 4% Vill ej svara, 1% Delvis, 30% Övrigt, 3% Knappt hälften krypterar Endast 48% använder kryptering fullt ut i sitt nätverk för att säkra data som transporteras. Detta visar på komplexiteten i IT-miljön idag och hur snabbt förändringar sker samt hur svårt det är att skapa en enhetlig kontroll och överblick. Kryptering är av stor vikt för att t ex garantera medborgarnas informationssäkerhet av data som hanteras av myndigheter.

Många saknar skydd mot DDoS attacker 34% av de tillfrågade har inget eller litet skydd mot överbelastningsattacker (DDoS). Inom offentlig sektor har man ett samhällsansvar, och många organisationer är skyldiga att vara tillgängliga dygnet runt. Om en myndighet plötsligt inte kan kommunicera med sina medborgare via webben kan konsekvenserna bli allvarliga, vilket vi har sett exempel på tidigare, såväl i Sverige som internationellt. Risken att utsättas för ett intrång är idag stor, då det blivit relativt enkelt att skapa kraftfulla DDoS-attacker. Även om offentliga myndigheter som Riksbanken, Säpo, Riksdagen, m fl. har blivit hotade och utsatta för DDoS attacker under det senaste året, har en mycket stor del inte ett fullgott skydd mot detta. DDoS uppfattas fortfarande inte som ett av de reella hoten av mer än någon procent av de tillfrågade. Fortfarande uppfattas hot som t ex den egna personalen som större och viktigare. Detta kan bero på att de är närmare den egna verksamheten och mer en del i det dagliga arbetet. Här finns dock en påtaglig risk att man förbiser viktiga aspekter i sitt förebyggande arbete kring krishantering. 6. Har ni implementerat lösningar för? a) Anställda tar med egna enheter (BYOD)? c) Överbelastningsattacker mot webbsidor och interna system? Ja, 35% Nej, 57% Delvis, 7% Vet ej, 1% Ja, 55% Delvis, 10% Nej, 24% Vet ej, 5% Sköts på central nivå, 5% Vill ej svara, 1% b) Olaga intrång i nätverket (hacker)? d) Då anställda inte följer säkerhetspolicyn? Ja, 76% Delvis, 6% Nej, 11% Vet ej, 2% Sköts på central nivå, 4% Vill ej svara, 1% Ja, 48% Delvis, 19% Nej, 29% Vet ej, 3% Sköts på central nivå, 1%

Många oförberedda för att klara kraven på DNSSEC DNSSEC är en tjänst som gör Internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet. Undersökningen visar att bara hälften har förberett sin infrastruktur för att klara kraven för DNSSEC, trots det regulatoriska krav som finns. Tjänsten syftar till att göra internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnsystemet. Att man inte infört tjänsten visar på svårigheterna i att styra över en spridd infrastruktur samt att myndigheter ser andra områden som mer prioriterade. Dock kan man konstatera att riskerna med att inte införa DNSSEC är stora, och att många säkerhetsincidenter enkelt skulle kunna undvikas om man använde sig av tjänsten. 7. Har ni förberett er infrastruktur för att klara av kraven på DNSSEC? 8. Vilka är era största drivkrafter för att bygga en flexibel infrastruktur? Ja, heltäckande, 43% Delvis, 6% Planerat, ej genomfört, 20% Inte alls, 9% Vet ej, 8% Sköts på central nivå, 12% Övrigt, 2% För att klara omorganisationer och förändringar i verksamheten, 10% För att kunna använda nya teknologier, 15% För att möjiggöra distans arbete och ett mobilt arbetssätt, 6% Möta verksamhetens krav, 27% Spara kostnader, 11% Tillgänglighet / driftsäkerhet, 12% Sköts på central nivå, 8% Förbättra för användarna, 11% Behovet att uppdatera är stort 9. Hur modern är er infrastruktur? 37% anser att de behöver se över sin infrastruktur och uppdatera den. Vår undersökning visar klart och tydligt att det finns ett stort behov av att uppdatera, rationalisera, centralisera och säkra dagens infrastruktur inom offentlig sektor. Dock visar undersökningen att det finns en god vilja och insikt hos de offentliga organisationerna att förbättra sig vad gäller IT-säkerhet. Mer än 37% av de tillfrågade uppgav att de har behov av att se över sin infrastruktur vad gäller dessa frågor. Helt uppdaterad, 19% Outsourcat (låg insyn), 4% Modern men kan förbättras, 37% Mycket bra uppdaterad, 11% Mycket modern, 23% Övrigt, 6%

Kunskap avgörande vid outsourcing När det gäller att outsourca nätverk-, datatacenter-, och säkerhetstjänster är det viktigt att fokusera på helheten och kravställningen. Eftersom teknikutvecklingen går så fort, uppstår hela tiden nya hot och nya möjligheter att skada nätverk. Det är av yttersta vikt att den lösning som organisationen väljer är skräddarsydd speciellt för dess behov. Kravställningen och den egna kompetensen är avgörande för att säkra upp att infrastrukturen är den bäst lämpade för verksamheten. En IT-säkerhetspolicy är dessutom verkningslös om inte pengar kan avsättas för att följa upp att leverantörer verkligen lever upp till de säkerhetskrav som ställts i upphandlingen. Ingen kedja är starkare än dess svagaste länk, och det gäller i allra högsta grad kring säkerhetsfrågor. Våra 6 råd 1. Utan IT stannar Sverige IT-lösningar blir allt mer centrala i verksamheters funktion, och kraven på dessa ökar. Att ha en ständigt tillgänglig IT-miljö i form av t ex webb, sociala medier och e-tjänster är särskilt viktigt för offentliga organisationer som kommunicerar med medborgare, eller för myndigheter som hanterar viktig information. 2. Se upp för falsk trygghet Det är av avgörande vikt att arbeta proaktivt med ITsäkerheten, och att kontinuerligt se över och uppdatera sina säkerhetslösningar. 10. Hur har ni säkrat att er infrastruktur är den bästa och mest lämpade för er verksamhet? Mix av egen kompetens & externa konsulter, 6% Använder externa upphandlingskonsulter, 13% Ser till att ha rätt kompetens i egen organisation, 15% Upphandlar via kammarkollegiet, 44% Outsourcat, 5% Sköts på central nivå, 11% Övrigt, 6% 3. Datacentret lika viktigt som slutanvändarna Vad gäller säkerhet måste man se till helheten, 80% av trafiken går idag i datacentret. 4. Se till att ha verktyg som stödjer IT-säkerhetspolicyn En policy är verkningslös om den inte stöds av rätt verktyg och kontrolleras. Det är dessutom avgörande att den moderniseras och uppdateras allteftersom. 5. Anställda vill använda egna enheter Det är en realitet idag att anställda vill använda egna smart phones och surfplattor, och det finns ingen anledning att kämpa emot detta. Vänd istället utvecklingen till en fördel och ha styr på det. 6. Se till att ha koll släpp aldrig greppet Egen kompetens och en god överblick av helheten är avgörande för en säker, flexibel och användarvänlig IT infrastruktur.

Kontakt IPnett AB Dalvägen 8 169 56 SOLNA, Sverige Tel: +46 08 55 50 68 00 E-mail: info@ipnett.se IPnett är en ledande leverantör av kommunikations- och nätverkslösningar. Företaget designar, utvecklar och levererar infrastruktur, UC- och säkerhetslösningar till företag, offentlig sektor och telekom- och nätoperatörer i Norden. IPnett har ca 120 medarbetare i Sverige, Norge och Danmark. Se vidare www.ipnett.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss