JIL Stockholms läns landsting i (6)

Relevanta dokument
Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Stockholms läns landsting 1 (2)

Kontaktpersoner för arbetet med ny regional indelning

Gåvofonden för DAMP-forskning vid Karolinska universitetssjukhuset

Landstingsstyrelsens förslag till beslut. Tilldelande av verksamhetsuppdrag SLL Innovation till Danderyds sjukhus AB

Stockholms läns landsting 1(2)

att Modell för samverkan mellan Stockholms läns landsting och pensionärsorganisationer

Ankom Stockholms läns landsting Handläggare: Viktoria Björk

Beslut att inte ansöka hos Socialstyrelsen om att bedriva verksamheten behandling av svåra brännskador som rikssjukvård i Stockholms läns landsting

Ekonomisk förstärkning till Skärgårdsstiftelsen 2014

Landstingsstyrelsens förslag till beslut

Förnyat genomförande- och anskaffningsbeslut avseende enskild upphandling inom Projekt SL Lås

Yttrande över PSI-utredningens betänkande Ett steg vidare - nya regler och åtgärder för att främja vidareutnyttjande av handlingar (SOU 2014:10)

Förslag om avskaffande av incitamentsmodeller i landstingets verksamheter

Skrivelse från Håkan Jörnehed (V) om att tillvarata sjukvårdskunskaper och medicinsk kompetens hos syriska flyktingar

Stockholms läns landsting 1(2)

Sammanfattande redogörelse av genomförda dialoger med länets kommuner om en eventuell regionbildning i Stockholms län.

FÖRSLAG 2014:85 LS Landstingsstyrelsens förslag till beslut. Ekonomisk förstärkning till Skärgårdsstiftelsen 2014

SKRIVELSE LS Håkan Jörnehed (V) har kommit in med en skrivelse om konsultkostnader.

Yttrande över promemorian Särskilda satsningar på ungas och äldres hälsa (Ds 2015:59)

Uppdrag att ta fram en ansökan till Socialstyrelsen om tillstånd att utföra rikssjukvård för verksamheten behandling viss kraniofacial kirurgi

Stockholms läns landsting 1 (2)

Skrivelse om utbildning för framtidens ledare i hälsooch

Landstingsstyrelsens förslag till beslut. Förlängning av lån till Kommunalförbundet Ägarsamverkan i Norrtäljes Sjukvård och Omsorg

Fusion av vilande dotterbolag till AB Storstockholms Lokaltrafik

Motion 2011:30 av Håkan Jörnehed m.fl. (V) om att se över och modernisera reglerna för visstidspension för politiker i Stockholms läns landsting

Anmälan av förteckning över uppdrag som kvarstår

Yttrande över motion 2017:30 av Robert Johansson m.fl. (S) om bidrag till pensionärsorganisationerna,

Motion 2015:27 av Tomas Eriksson m.fl. (MP) om regional storsatsning på elladdstolpar

LS I30S'0&1( Rok\ TiL

Svar på motion om gemensamt bibliotek

Fastställande av kategori A upphandlingar som beräknas bli påbörjade under år 2014

Stockholms läns landsting

SKRIVELSE Yttrande över promemorian Barns rätt till vård och sociala insatser stärks (Ds 2011:5)

Yttrande över departementspromemorian - En tydligare beredning av myndighetsföreskrifter (Ds 2014:10)

Utträde ur föreningen Klimatkommuner i Sverige

Yttrande över promemorian Om katastrofmedicin som en del av svenska insatser utomlands (Ds 2013:7)

Produktionsutskottet förslår att traineeprogram inom Stockholms läns landsting införs.

Sammanhållen innovationsverksamhet för Stockholms läns landsting

Stockholms läns landsting 1(2)

Yttrande över remiss från Sveriges kommuner och landsting om Förslag angående former och inriktning av nationellt samarbete inom ehälsa

Motion 2013:26 av Tomas Melin (MP) om alkoholfri representation

att uppdra åt landstingsdirektören att stödja framtagandet av en regional digital agenda i samverkan med andra samhällsaktörer.

1 Landstingsstyrelsens förvaltning. Strategisk IT i SLL. Vad ska vi vara för vem och vad ska vi göra för dem?

Stockholms läns landsting 1(2)

Svar på skrivelse från Erika Ullberg (S) om Paolo Macchiarini - Hur ska förtroendet repareras?

LS

Stockholms lins landsting

Stockholms läns landsting 1(2) "

Informationssäkerhetspolicy inom Stockholms läns landsting

Svar på skrivelse av Susanne Nordling (MP) om Nya Karolinska Solna (NKS)

X Stockholms läns landsting 1 (4)

Stockholms läns landsting 1 (2)

Landstingsstyrelsens förslag till beslut. Motion 2016:34 av Rickard Wall (-) om stopp för utförsäljning av landstingsparken

Landstingsstyrelsens förslag till beslut

Överenskommelse inom klinisk forskning och hälsooch sjukvård med Karolinska Institutet

Skrivelse av Helene Öberg m.fl. (MP) om nattågen till Malmö

Motion 2013:20 av Håkan Jörnehed (V) om att avskaffa förmånsbilar i Stockholms läns landsting

Stockholms läns landsting 1(2)

Rekommendationer rörande nationell och regional nivåstrukturering för sex åtgärder inom cancerområdet

Stockholms läns landsting 1 (2)

att inleda upphandling av kärnsystem inom ramen för 3R-Framtidens vårdinformationsmiljö

Fastställande av internkontrouplan för år 2017 för landstingsstyrelsens förvaltning

Svar på skrivelse från Gunilla Roxby Cromvall (V) om förekomsten av heltid och delade turer i landstingsfinansierade yrkesgrupper

PIL Stockholms läns landsting

Motion av Jonas Lindberg m.fl. (V) om införandet av akademisk specialisttjänstgöring för sjuksköterskor

Anmälan av slutlig budget 2017 för Stockholms läns landsting

LS Motion 2009:32 av Lena-Maj Anding m fl (MP) om samordnad vård for multisjuka äldre

Håkan Jörnehed (V) har inkommit med en skrivelse till landstingsstyrelsen daterad den 14 april 2015, om hanteringen av skrivelser.

Motion 2017:30 av Robert Johansson m.fl. (S) om bidrag till pensionärsorganisationerna 15 LS

Motion 2015:36 av Birgitta Sevefjord (V) om sänkta arvoden för landstingsråd och gruppledare

FÖRSLAG 2014:66 LS Landstingsstyrelsens förslag till beslut. Reglemente för partistöd i Stockholms läns landsting

FÖRSLAG 2016:102 LS Landstingsstyrelsens förslag till beslut. Anmälan av slutlig budget 2017 för Stockholms läns landsting

Stockholms läns landsting 1 (2)

Reglemente för partistöd i Stockholms läns landsting

Yttrande över betänkandet Stärkt meddelarskydd för privatanställda i offentligt finansierad verksamhet (SOU 2013:79)

SKRIVELSE LS Håkan Jörnehed (V) har lämnat en skrivelse om personalbemanning.

Landstingsstyrelsens förslag till beslut. Bidrag till Stockholm Care AB för utveckling av Tobias Registret 2012

FÖRSLAG 2014:78 LS Landstingsstyrelsens förslag till beslut. Motion 2013:26 av Tomas Molin m.fl. (MP) om alkoholfri representation

Landstingsstyrelsens förslag till beslut. Motion 2015:9 av Per Carlberg m.fl. (SD) om införskaffande av så kallade jumbolanser

Landstingsstyrelsens förslag till beslut

Stockholms läns landsting 1 (4) r ;; -j

Återrapportering av 4D - samverkansprojekt mellan Stockholms läns landsting och Karolinska Institutet

Jens Sjöström m.fl. (S) har lämnat en motion om inrättande av ett regionalt kompetens- och valideringscentrum i Stockholms läns landsting.

Landstingsstyrelsens förslag till beslut

Återrapportering om sökandet efter ny huvudman till Berga Naturbruksgymnasium

Yttrande över departementspromemorian Avskaffande av steriliseringskrav som villkor för ändrad könstillhörighet (Ds 2012:46)

FÖRSLAG 2015:75 LS Landstingsstyrelsens förslag till beslut. Fusion av vilande dotterbolag till AB Storstockholms Lokaltrafik

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Utvärdering av arbetsordning för landstingsfullmäktige. Landstingsdirektören föreslår en utvärdering av arbetsordning för fullmäktige i landstinget.

Översyn av förmåner för landstingets medarbetare

Stockholms läns landsting 1(2)

Stockholms läns landsting 1 (3) Skrivelse av Erika Ullberg (S) om det totala. konsultanvändandet vid Karolinska Universitetssjukhuset

Skrivelse från Helene Öberg (MP) om Stockholms läns landstings uppföljning av effektiviseringar i sjukvårdsverksamheten

Skrivelse av Gunilla Roxby Cromvall (V) om arbetsmiljön i hälso- och sjukvården 6 LS

Stockholms läns landsting 1 (4)

Riktad nyemission av aktier i Mälardalstrafik MÄLAB AB till Landstinget i Östergötland

Avsiktsförklaring om samverkan mellan Kungliga Tekniska högskolan och Stockholms läns landsting

Översyn av roller, ansvar och beslutsmandat så att

1 4 * *

Transkript:

JIL Stockholms läns landsting i (6) Landstingsstyrelsens förvaltning Informationssäkerhet Handläggare: Vesna Lucassi Landstingsstyrelsens arbetsutskott Ankom - Stockholms läns landsting 2014-02- 2 0, 4cJ 1^ Förslag på kort- och långsiktiga lösningar för bättre och tydligare IT-säkerhet Ärendebeskrivning Arbetsutskottet gav i slutet av år 2013 landstingsdirektören i uppdrag att skyndsamt återkomma med förslag på kort- och långsiktiga lösningar för om möjligt bättre och tydligare IT-säkerhet. Ärendet behandlar förslag till lösningar enligt detta uppdrag. Beslutsunderlag Landstingsdirektörens tjänsteutlåtande den 18 februari 2014 Förslag till beslut Arbetsutskottet föreslår landstingsstyrelsen besluta att uppdra åt landstingsdirektören att genomföra en översyn av roller, ansvar och beslutsmandat så att tydliga beslutskedjor etableras gällande IT-säkerhetsåtgärder och hantering av IT-säkerhetsrelaterade incidenter att uppdra åt landstingsdirektören att inrätta en övergripande funktion med uppgift att stödja landstingets verksamheter med att upptäcka och hantera IT-säkerhetsrelaterade hot och incidenter att uppdra åt landstingsdirektören att säkerställa att utökade IT-säkerhetskrav, såsom separering av nätverkstrafik, ställs i den nya plattformen för SLLnet samt för att skyddet i den gemensamma arbetsplatsplattformen stärks att uppdra åt landstingsdirektören att utreda central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Stockholms läns landsting 2(6) att uppdra åt landstingsdirektören att i budget för år 2015 och för planåren 2016-2017 beakta kostnader i enlighet med föreslagna åtgärder. Förvaltningens förslag och motivering Sammanfattning Arbetsutskottet gav den 5 november 2013 landstingsdirektören i uppdrag att skyndsamt återkomma till arbetsutskottet med förslag på kort- och långsiktiga lösningar för om möjligt bättre IT-säkerhet (LS 1311-1456). Stockholms läns landsting står inför stora satsningar både inom trafik och vård med höga krav på informations- och IT-säkerhet. För att uppnå satta mål behöver landstinget successivt öka sin IT-säkerhetsberedskap. Landstingsdirektören har genomfört en utredning och redogör i detta tjänsteutlåtande för lösningar och förslag gällande tydligare styrning, stärkt organisation, förbättrade processer samt stärkt skydd i nätverk och arbetsplatsplattform. Bakgrund Informationssäkerhet är idag en stor utmaning, både nationellt och globalt. Den snabba IT-utvecklingen, komplexa systemberoenden och ökad informationsdelning påverkar alla samhällsprocesser och ställer allt högre krav på informationshanteringen. Samtidigt innebär den höga förändringstakten och behovet av exponering mot internet att hotbilden ständigt förändras. Under de senaste åren har hotbilden kopplad till informationssäkerhet kraftigt ökat i samhället. Både dagens och framtida IT-angrepp kommer från resursstarka och kunniga aktörer som har uttalade mål och syften med sina angrepp. I dag finns ett reellt hot mot samhällsviktig verksamhet, och kritisk infrastruktur förväntas bli särskilt utsatt. Syftet är ofta att skaffa sig informationsöverläge genom inhämtning av t.ex. skyddsvärda uppgifter och forsloiingsresultat. Hotbilden beror även på omvärldshändelser och på hur verksamheter agerar i olika sammanhang. Exempelvis introducerar mobila enheter, som används för att få tillgång till system och molndata via webbläsarbaserade och mobila applikationer, nya säkerhetshot i verksamheters nätverk som behöver hanteras. Under de senaste åren har verksamheten hos olika samhällsaktörer påverkats eller slagits ut till följd av sårbarheter, IT-angrepp och skadlig kod och de ekonomiska konsekvenserna av incidenterna ökar. Stockholms läns landsting står inför stora satsningar både inom trafik och inom vård. Ambitionerna i Framtidsplan för hälso- och sjukvården, Regionalt trafikförsörjningsprogram för Stockholms län och den regionala digitala agendan, en strategi som samordnar åtgärder på IT-området inom

Stockholms läns landsting 3 (6) bland annat säkerhet, infrastruktur, tillgänglighet och användbarhet, ställer höga krav på informations- och IT-säkerheten. För att uppnå satta mål och samtidigt säkerställa patientsäkerheten och patientintegriteten i en komplex och integrerad miljö där IT är verksamhetskritiskt för behandlingar i vården, liksom för andra delar av landstingets verksamheter, krävs att landstinget successivt ökar sin förmåga att hantera ITsäkerhetsrelaterade hot och incidenter. Viktiga framgångsfaktorer är att utarbeta strategier och förändra både teknik och processer som kan ge insikt om aktuell hotbild och aktuella risker i landstingets verksamheter. Avgörande är också att landstinget, i samverkan med andra samhällsaktörer, stärker sin förmåga att hantera incidenter när de väl uppstår. I samband med att landstingsstyrelsens arbetsutskott fick information om vårdens IT-säkerhet beslutade utskottet den 5 november 2013 (LS 1311-1456) om uppdrag till landstingsdirektören att skyndsamt återkomma till arbetsutskottet med förslag på kort- och långsiktiga lösningar för om möjligt bättre och tydligare IT-säkerhet. Dessa redovisas nedan. Överväganden Landstingdirektören har utrett möjligheterna att åstadkomma en bättre och tydligare IT-säkerhet. I de överväganden som har gjorts har målet att förverkliga den digitala agendan, hänsyn till patientsäkerhet och patientintegritet, landstingets policy och riktlinjer för informationssäkerhet samt administrativ förenkling varit vägledande. Arbetet har skett i dialog med berörda förvaltningar och bolag. För att hålla en god IT-säkerhetsberedskap som är i paritet med morgondagens hotbild behöver landstingets förmåga öka inom områdena styrning, organisation och kompetens samt processer och teknologi. Förslag på lösningar gällande styrning En omfattande och komplex IT-miljö med gränsöverskridande risker och hot kräver ökad styrning, sammanhållen struktur, standardiserade processer samt förmåga att göra riskawägningar utifrån ett landstingsövergripande perspektiv. En översyn av roller, ansvar och beslutsmandat behöver genomföras så att tydliga beslutskedjor finns etablerade för t.ex. upptäckt, eskalering, åtgärder och kommunikation gällande IT-säkerhetsåtgärder och incidenthantering. I översynen bör även ingå att föreslå beslutsmandat att snabbt stänga ner nätverkskopplingar som innebär en allvarlig IT-säkerhetsrisk.

Stockholms läns landsting 4(6) Förslag på lösningar gällande organisation och kompetens Det finns idag ett framväxande behov av specialistkompetens gällande ITsäkerhet. Exempel på uppgifter där behov av stöd finns är krisagerande vid allvarliga IT-incidenter (t.ex. skadlig kod som berör flera verksamheter), insamling och analys av data, återställande av system, samordning av åtgärder som krävs för att avhjälpa eller lindra effekter av inträffade incidenter etc. Bedömningen är att sådana insatser skulle kunna förenldas genom inrättandet av en landstingsövergripande funktion med uppgiften att stödja verksamheterna med att upptäcka och hantera IT-säkerhetsincidenter. På kort sikt föreslås ett inrättande med stödjande uppgift, på längre sikt bör funktionen även arbeta operativt med att identifiera och agera för åtgärdande av akuta brister avseende säkerheten i IT-miljön i landstinget, t.ex. att genomföra tekniska analyser och att samla in bevis vid potentiella dataintrång. Förslag på lösningar gällande processer Förvaltningen föreslår på lång sikt att en central teknisk lösning införs för att upptäcka avvikelser mot normalt beteende dvs. potentiella hot, i landstingets nätverk och kritiska IT-system. Den överblick som en samlad process ger skapar möjlighet till prioriteringar utifrån verksamheternas behov. En utredning bör genomföras skyndsamt med målet att ta reda på förutsättningarna för en sådan lösning. Förslag på lösning gällande teknologi Stockholms läns landsting har inrättat ett nätverk, SLLnet, för att på konkurrensneutrala villkor erbjuda ett transportnät till parter, t.ex. vårdgivare, som genom avtal har behov av att kommunicera med och leverera data till Stockholms läns landsting. SLLnet förvaltas idag av SLL IT. För att ha bättre förutsättningar att möta utmaningarna i landstingets verksamheter krävs förändringar i landstingets strategier för nättrafik och datahantering. Existerande avtal för SLLnet upphör att gälla den 31 december 2015, och existerande hårdvaru- och konsultavtal för de lokala nätverken (de till SLLnet anslutande näten) upphör år 2014. Arbetet med att planera nya upphandlingar pågår. Därför föreslås att ytterligare säkerhetsprinciper och säkerhetskrav i den framtida plattformen skyndsamt identifieras och Idarläggs. Möjligheterna att ytterligare separera nätverkstrafik bör exempelvis övervägas, liksom möjligheten till en ökad separation av hårdvara samt integritetskänsliga data som är kopplade till kritiska system. Separation av datatrafik medför att spridning av skadlig kod och/eller IT-angrepp kan begränsas på ett enklare sätt i händelse av incident. Behov finns även att på sikt uppgradera befintliga lokala nätverk, t.ex. på sjukhusen, med nya tekniska lösningar och ökad separation av nätverkstrafik.

Stockholms läns landsting 5(6) För närvarande pågår det ett arbete med att införa en enhetlig PCarbetsplats vid de stora sjukhusen i landstinget. På kort sikt föreslås att skyddet i den gemensamma arbetsplatsplattformen stärks ytterligare i syfte att ta höjd för den ökande hotbilden. Införande av en standardiserad ITarbetsplats med förstärkt IT-säkerhetsskydd bör på sikt även ske för resterande arbetsplatser inom landstinget, i syfte att möjliggöra ett snabbt agerande vid potentiella IT-säkerhetsincidenter kopplade till ITarbetsplatser. På sikt bör även verktyg och rutiner införas gällande en standardiserad och centraliserad användarautentisering som är kopplad till den kommande nätverksstrukturen. Förslag på omedelbara åtgärder Landstingsdirektören föreslås få i uppdrag att genomföra en översyn i syfte att etablera tydliga beslutskedjor gällande IT-säkerhet samt att skyndsamt inrätta en stödjande funktion med uppgiften att upptäcka och hantera IT-säkerhetsrelaterade hot och incidenter. Landstingsdirektören föreslås även få i uppdrag att säkerställa att utökade IT-säkerhetskrav, såsom separering av nätverkstrafik, ställs i upphandling av ny nätverkslösning, då existerande avtal för SLLnet upphör att gälla, samt för att skyddet i den gemensamma arbetsplatsplattformen stärks. Landstingsdirektören föreslås slutligen få i uppdrag att utreda en central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system. Ekonomiska konsekvenser av beslutet Omedelbara åtgärder De föreslagna kortsiktiga uppdragen bedöms i nuläget rymmas inom tilldelad budgetram för år 2014. Avseende uppdraget gällande uppbyggnaden av en stödjande funktion för att upptäcka och hantera ITsäkerhetsrelaterade hot och incidenter, uppskattas detta medföra kostnader motsvarande cirka 5 miljoner kronor för år 2015 och framåt. Uppdraget gällande SLLnet beräknas i nuläget medföra utökade kostnader motsvarande cirka 85 miljoner kronor för åren 2015-2017. Kostnaderna föreslås beaktas i ordinarie budgetprocess för 2015 samt planår 2016-2017. Kostnaderna för föreslagna säkerhetsregleringar bör ställas i relation till de kostnader som uppstår för IT-säkerhetsincidenter utan regleringar, t.ex. driftavbrott till följd av ett större utbrott av skadlig kod eller dataintrång. Föreslagna lösningar kan förväntas ha en preventiv verkan på verksamhetens budget samt på andra negativa konsekvenser som kan uppstå i samband med allvarliga IT-relaterade incidenter.

Stockholms läns landsting 6(6) 2014-02-18 LS 1311-1456 Lång siktig a för slag Föreslagna lösningar på sikt uppskattas medföra ytterligare kostnader under åren 2017-2020. Omfattning och ekonomiska konsekvenser bör utredas och säkerställas. Miljökonsekvenser av beslutet I enlighet med landstingets Miljöpolitiska program 2012-2016 har hänsyn till miljön beaktats och slutsatsen är att det inte är relevant med en miljökonsekvensbedömning i detta ärende. Toivo Heinsoo Landstingsdirektör Anders Nyström Biträdande förvaltningschef