Årsberetning for 2002 vedrørende IT-sikkerhedsområdet
Årsberetning for 2002 vedrørende IT-sikkerhedsområdet
Borgerrepræsentationen
DAGSORDEN
for Ordinært møde torsdag den 13. november 2003
BR 506/03
Årsberetning for 2002 vedrørende IT-sikkerhedsområdet
Årsberetning for 2002 vedrørende
IT-sikkerhedsområdet
Indstilling om, at årsberetningen for 2002 vedrørende IT-sikkerhedsområdet tages til efterretning.
(Økonomiudvalget)
INDSTILLING
Økonomiforvaltningen indstiller, at Økonomiudvalget overfor Borgerrepræsentationen anbefaler,
at årsberetningen for 2002 vedrørende IT-sikkerhedsområdet tages til efterretning.
Økonomiudvalgets beslutning i mødet den 28. oktober 2003
Anbefalet.
RESUME
Årsberetningen afgives i henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" (Sikkerhedsregulativet), som blev godkendt i Borgerrepræsentationen den 22. august 2002.
Sammenfattende kan det konkluderes, at
arbejdet indenfor IT-sikkerhedsområdet i 2002 ikke har givet anledning til særlige
bemærkninger.
Der er i 2002 konstateret enkelte tilfælde af overtrædelser af sikkerhedsbestemmelserne, som har resulteret i afskedigelser eller påtaler. Herudover har Jyllands-Posten uretmæssigt skaffet sig adgang til Bygge- og Teknikforvaltningens netværk via trådløst udstyr, som forvaltningen havde installeret med henblik på test. Forvaltningen frakoblede udstyret, således at adgangen blev lukket. Der blev samtidig af såvel Datatilsynet som Borgerrepræsentationen – sidstnævnte i bilag til sikkerhedsregulativet – fastsat retningslinier for anvendelse af trådløse netværk.
Datatilsynet har ultimo 2002 været på inspektion i Økonomiforvaltningen (Rådhusdelen), Sundhedsforvaltningen og Familie- og Arbejdsmarkedsforvaltningen. Datatilsynet har vurderet, at der er etableret et godt grundlag for sikkerhedsarbejdet og har ikke haft bemærkninger til de konkrete forhold, som inspektionen omfattede. Datatilsynet har dog henstillet, at der i Økonomiforvaltningens og Familie- og Arbejdsmarkedsforvaltningens sikkerhedsinstruks etableres dokumentation for, hvorledes de enkelte bestemmelser i sikkerhedsbekendtgørelsen opfyldes. Datatilsynets afrapportering vedrørende inspektionen i Økonomiforvaltningen og Familie- og Arbejdsmarkedsforvaltningen vedlægges som bilag til nærværende årsberetning. Datatilsynet har ikke færdiggjort afrapporteringen vedrørende inspektionen i Sundhedsforvaltningen.
Driftsafviklingen af kommunens IT-systemer er medio september 2002 overtaget af DM-data fra KMD. Revisionserklæringen for 2002 fra KMD's IT-sikkerheds-revision giver ikke anledning til forbehold eller revisionsbemærkninger. Økonomiforvaltningen har i samarbejde med forvaltningerne påbegyndt en afdækning af dataudvekslingen med eksterne parter og har i den forbindelse indgået en midlertidig aftale med KMD om at bistå med dataudvekslingsopgaven som underleverandør til DM-data. Kortlægningen er endnu ikke afsluttet.
Kommunens forvaltninger modtog i 2002 henvendelser fra borgere om indsigt i behandlinger, som ikke har givet anledning til særlige bemærkninger.
I 2002 var IT-sikkerhedsarbejdet organiseret i 13 IT-sikkerhedsområder med hver sin sikkerhedsleder, og der var i alt ca. 19.000 autoriserede brugere i kommunens IT-systemer.
Kompleksiteten i kommunens IT-sikkerhedsadministration er stigende i takt med ibrugtagning af nye IT-systemer, hvorfor Økonomiforvaltningen ultimo 2002 har iværksat en undersøgelse af IT-sikkerhedsadministrationen i forvaltningerne. Resultatet af undersøgelsen kan danne grundlag for en beslutning om implementering af en fælles og forenklet IT-sikkerhedsadministrationsløsning. Af andre nye tiltag, som udspringer fra Sikkerhedsregulativet, kan nævnes implementering af tekniske reetableringsplaner som en del af katastrofeberedskabet samt risikovurderinger i de enkelte forvaltninger som grundlag for Økonomiudvalgets fastlæggelse af det overordnede IT-sikkerhedsniveau i kommunen.
Implementering af Sikkerhedsregulativet er en løbende proces i forvaltningerne. Økonomiforvaltningen har i 2002 påbegyndt udarbejdelse af minimumsbestemmelser til Sikkerhedsregulativet, hvori krav til blandt andet systemudvikling og –vedligeholdelse, d riftsafvikling, fysisk sikkerhed, nødberedskab m.v. bliver præciseret, jfr. Sikkerhedsregulativets § 6, stk. 2. Forvaltningerne har påbegyndt en opdatering af de interne sikkerhedsinstrukser og -forskrifter som opfølgning på det nye sikkerhedsregulativ.
SAGSBESKRIVELSE
I henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" afgiver Overborgmesteren og den enkelte borgmester en årsberetning om sikkerhedsarbejdets forløb indenfor hver deres område. Vedkommende udvalg orienteres om årsberetningen. Overborgmesteren koordinerer beretningerne med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
1. Lov om behandling af personoplysninger
Der er i år 2002 ikke sket ændringer i lovgrundlaget, lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven), som trådte i kraft den 1. juli 2000, Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning samt Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelsen.
2. Regulativ for IT-sikkerhed i Københavns Kommune
Borgerrepræsentationen godkendte den 22. august 2002 "Regulativ for IT-sikkerhed i Københavns Kommune" (Sikkerhedsregulativet), som er grundlaget for IT-sikkerhedsadministrationen i forvaltningerne.
Sikkerhedsregulativet er en opfølgning på kommunens IT-strategi. I Sikkerhedsregulativet er der taget højde for, at det i takt med den øgede IT-anvendelse er væsentligt - ikke mindst ud fra en risiko- og omkostningsvurdering - at kommunen fastlægger et højt sikkerhedsniveau med vidtgående krav til datasikkerhed og -kvalitet. Samtidig har hensynet til borgerne og tillidsforholdet mellem borgerne og Københavns Kommune været en væsentlig faktor i udformningen af Sikkerhedsregulativet.
IT-sikkerhedsbestemmelserne i Sikkerhedsregulativet omfatter derfor IT-sikkerheden generelt, så der - ud over bestemmelser i relation til beskyttelse af persondata - fokuseres på IT-ledelse og IT-anvendelse. Forvaltningernes sikkerhedsinstrukser og sikkerhedsforskrifter indrettes i overensstemmelse hermed.
Sikkerhedsregulativet er tilgængeligt på kommunens intranet KKnettet.
3. IT-sikkerhedsorganisationen
Økonomiudvalget fører det overordnede tilsyn med og koordinerer sikkerhedsbestemmelserne i alle forvaltninger, jfr. Sikkerhedsregulativets § 6. Overborgmesteren fungerer som sekretær for Økonomiudvalget på IT-sikkerhedsområdet – denne opgave varetages i det daglige af Borgerrepræsentationens Sekretariat.
Der er i sikkerhedsregulativet fokuseret på IT-ledelse. Der er ved opbygningen af kommunens sikkerhedsorganisation tilstræbt adskillelse af den kontrollerende og den udførende funktion, ligesom der er tilstræbt uafhængighed af nøglepersoner ved udpegning af stedfortrædere.
Den kontrollerende funktion varetages af sikkerhedslederne, som udpeges af Overborgmesteren og de enkelte borgmestre indenfor hver deres område.
Ved udgangen af 2002 havde Overborgmesteren og de enkelte borgmestre i henhold til § 10 i Sikkerhedsregulativet udpeget i alt 13 sikkerhedsledere, der fordeler sig således på de enkelte forvaltninger:
Forvaltning Antal
sikkerhedsledere:
Økonomiforvaltningen 3
Kultur- og Fritidsforvaltningen 1
Uddannelses- og Ungdomsforvaltningen 1
Sundhedsforvaltningen 1
Familie- og Arbejdsmarkedsforvaltningen 1
Bygge- og Teknikforvaltningen 4
Miljø- og Forsyningsforvaltningen 1
Revisionsdirektoratet 1
Sikkerhedsledernes opgaver fremgår af Sikkerhedsregulativet.
De udførende funktioner på IT-sikkerhedsområdet varetages af forvaltningernes ledelse, de systemansvarlige og de IT-ansvarlige, hvis opgaver i relation til IT-sikkerhedsregulativet specifikt fremgår af regulativets §§ 12-14 samt §§ 17-18.
4. Den daglige sikkerhedsadministration
Sikkerhedslederne foretager den daglige sikkerhedsadministration på basis af de sikkerhedssystemer, der enten er indbygget i eller koblet på de IT-systemer, der anvendes indenfor det pågældende sikkerhedsområde.
Med henblik på at forenkle den daglige sikkerhedsadministration har Økonomiforvaltningen igangsat en analyse omfattende den eksisterende sikkerhedsadministration og mulighederne for indførelse af et samlet og så vidt muligt delegeret sikkerhedsadministrationssystem. En ny løsning skal kunne dække alle IT-brugerne i de væsentlige traditionelle og nye IT-systemer, så som ESB (elektronisk selvbetjening) på Internettet, kommunens nye intranetløsning KKne t2 samt ESDH-systemet m.fl., ligesom løsningen skal kunne omfatte den fremtidige brug af den offentlige digitale signatur.
Analysen forventes at munde ud i en anbefaling af en ny sikkerhedsløsning til implementering formentlig i år 2004/2005.
5. IT-sikkerheden i de enkelte forvaltninger
Al adgang til IT-systemer er betinget af en konkret autorisation fra en sikkerhedsleder. Antallet af personer, der er autoriseret til én eller flere funktioner i kommunens systemer og netværk, udgør ca. 19.000. Antallet er stigende i takt med ibrugtagning af nye IT-systemer og øget anvendelse af de eksisterende systemer. Hovedparten af medarbejderne er autoriseret til systemer, der blev driftsafviklet hos KMD og fra medio september 2002 hos DM-data. Et mindre antal brugere er autoriseret til systemer, der driftsafvikles på edb-centralen i Københavns Energi og andre edb-service bureauer samt internt i forvaltningerne på lokale servere.
I medfør af Sikkerhedsregulativets § 16 og § 18 skal der i de enkelte forvaltninger udarbejdes uddybende IT-sikkerhedsbestemmelser i form af en sikkerhedsinstruks og sikkerhedsforskrifter, hvori fastsættes forretningsgange for sikkerhedslederens og den IT-ansvarliges opgaver. Disse uddybende bestemmelser er enten udarbejdet eller er under udarbejdelse i de enkelte forvaltninger.
Forvaltningernes IT-sikkerhedsbestemmelser m.v. er eller vil alle blive tilgængelige på kommunens Intranet efterhånden som de foreligger.
6. Nye IT-sikkerhedsmæssige tiltag
Som nævnt ovenfor er der i 2002 igangsat en analyse af den daglige sikkerhedsadministration. Analysen, som nu er afsluttet, skal munde ud i en anbefaling af en ny fælles IT-sikkerhedsløsning, som omfatter såvel brugeradministration og -identifikation samt adgange til alle kommunens IT-systemer og netværk. Dette tiltag vil både kunne forenkle og forbedre sikkerhedsadministrationen.
Af Sikkerhedsregulativets § 6 fremgår blandt andet, at Økonomiudvalget skal fastlægge det overordnede IT-sikkerhedsniveau ud fra en risikovurdering i de enkelte forvaltninger. Denne risikovurdering skal i de kommende år sikres høj prioritet i forvaltningerne.
En anden opgave, der skal sikres høj prioritet, er
udarbejdelse af IT-beredskabs- og katastrofeplaner. I forbindelse med
overgangen til DM-data har Økonomiforvaltningen sikret udarbejdelse af en
teknisk reetableringsplan, som omfatter alle IT-systemer, der driftsafvikles
hos DM-data. Tilsvarende planer skal udarbejdes for kommunens øvrige
IT-systemer, der driftsafvikles hos andre leverandører eller internt i
kommunen. I tilslutning hertil skal der sikres kobling til Plan for det civile
beredskab i Københavns Kommune, som også omfatter sikring af data.
7. Opfølgning på sikkerhedshændelser
I Sundhedsforvaltningen er der ikke noteret sikkerhedsbrud eller forsøg herpå. Det er dog bemærket i forvaltningens IT-sikkerhedsårsberetning, at der i forbindelse med en del nye brugere uden den store IT-erfaring er en øget opmærksomhed på brugernes anvendelse af PC, da der lettere kan opstå sikkerhedsproblemer.
I Familie- og Arbejdsmarkedsforvaltningen er der konstateret uberettiget opslag i personoplysninger, hvor medarbejdere har fået adgang til personoplysninger uden at der har været tjenstlig begrundelse herfor. Reglerne for opslag i personoplysninger er blevet indskærpet overfor alle medarbejdere. I enkelte tilfælde er konstateret misbrug af adgang til personoplysninger, hvilket har givet anledning til bortvisning eller påtale. I et enkelt tilfælde har en medarbejder misbrugt sin adgang til udbetalingssystemet til at udbetale penge til sig selv. Sagen er overdraget til politiet, og medarbejderen er ikke længere ansat i forvaltningen. Kontrollerne er udbygget med henblik på forebyggelse af lignende sager.
I Bygge- og Teknikforvaltningen har Jyllands-Posten skaffet sig adgang til forvaltningens netværk via trådløst udstyr, som forvaltningen havde installeret med henblik på test. Jyllands-Postens måde at skaffe sig adgang til forvaltningens netværk var iflg. forvaltningen ikke lovlig, men havde ifølge Jyllands-Posten blandt andet til formål at belyse sikkerhedsproblemer ved brug af trådløs teknologi. Forvaltningen frakoblede udstyret således, at adgangen blev lukket. Efterfølgende blev kendeordene ændret og opmærksomheden omkring IT-sikkerhed er i øvrigt blevet skærpet. Episoden gav anledning til, at Datatilsynet udarbejdede retningslinier for anvendelse af trådløse netværk, lige som bilag 1 til kommunens sikkerhedsregulativ blev uddybet for så vidt angår trådløse netværk.
Skatte- og Registerforvaltningen, har modtaget en henvendelse fra Datatilsynet vedrørende kryptering. Henvendelsen var en kommentar og endelig afslutning på en sag om kryptering af elektroniske flytteanmeldelser via Internettet.
I de øvrige IT-sikkerhedsårsberetninger, herunder
Revisionsdirektoratets IT-sikkerhedsårsberetning, er ikke nævnt særlige
forhold.
8.
Inspektion fra Datatilsynet
Datatilsynet har været på inspektion i Økonomiforvaltningen (Rådhusdelen), Sundhedsforvaltningen og Familie- og Arbejdsmarkedsforvaltningen. Datatilsynet har forud for inspektionen fået tilsendt kommunens IT-sikkerhedspolitik og Sikkerhedsregulativet og har vurderet, at der er etableret et godt grundlag for sikkerhedsarbejdet.
Datatilsynets samlede opfattelse af sikkerhedsarbejdet i Økonomiforvaltningen og Familie- og Arbejdsmarkedsforvaltningen var tilfredsstillende. Datatilsynet har dog henstillet, at der i forvaltningernes sikkerhedsinstrukser etableres dokumentation for, hvorledes de enkelte bestemmelser i sikkerhedsbekendtgørelsen opfyldes.
Datatilsynet har ikke afsluttet afrapporteringen vedrørende tilsynet i Sundhedsforvaltningen.
9. Kommunens eksterne databehandlere
På baggrund af reglerne i Sikkerhedsbekendtgørelsen er der i Sikkerhedsregulativet sket præciseringer af sikkerhedsforanstaltningerne hos eksterne databehandlere.
Kommunen har nu flere eksterne databehandlere, hvormed der er eller er ved at blive indgået sikkerhedsaftaler, jfr. persondatalovens § 42 samt sikkerhedsregulativets § 31.
KMD varetog driftsafviklingen af størsteparten af de fælles IT-systemer, der anvendes i kommunen indtil den 15. september 2002, hvor DM-data overtog driftsafviklingen.
KMD indestod i henhold til den outsourcingaftale, der var gældende indtil 15. september 2002, blandt andet for, at kommunens sikkerhedsregulativ til enhver tid blev overholdt. Kommunernes Revisionsafdeling, der udfører IT-sikkerhedsrevision i Kommunedata, har udarbejdet den årlige revisionserklæring, hvis primære formål er at påpege mangler eller andre forhold af betydning for opretholdelsen af et tilfredsstillende sikkerhedsniveau i Kommunedata og påse, at gældende sikkerhedsbestemmelser overholdes.
Af revisionserklæringen for 2002 fremgår blandt andet, at revisionen har efterprøvet, om den samlede system-, data- og driftssikkerhed er betryggende, og at revisionen ikke har givet anledning til forbehold eller revisionsbemærkninger. Erklæringen, som er godkendt af Kommunedatas bestyrelse, vedlægges som bilag til nærværende årsberetning.
DM-data overtog driftsafviklingen den 15. september 2002. I den anledning blev der indgået en sikkerhedsaftale, jfr. Persondatalovens § 42 og sikkerhedsregulativets § 31, blandt andet med henblik på at sikre, at DM-data teknisk og organisatorisk kan træffe de nødvendige sikkerhedsforanstaltninger og påse, at det sker. Endvidere fremgår det af aftalen, at DM-data alene handler efter instruks fra Københavns Kommune. I henhold til sikkerhedsaftalen skal DM-data ligeledes aflevere en årlig revisionserklæring, første gang med udgangen af 2003.
I forbindelse med overgangen til DM-data som ny driftsafvikler for Københavns Kommune var det nødvendigt at kortlægge datatudvekslingen i forhold til eksterne parter med henblik på sikring af kommunens aftaler på dataudvekslingslingsområdet. Kortlægningen har taget længere tid end forventet, hvorfor kommunen har indgået en samlet og midlertidig aftale med KMD om som underleverandør til DM-data fortsat at bistå kommunen i forbindelse med dataudvekslingensopgaven, indtil kortlægningen er afsluttet. Ved udgangen af 2002 var kortlægningen endnu ikke afsluttet.
10. Anmeldelser til Datatilsynet
Anmeldelse til Datatilsynet af behandlinger foretages løbende i henhold til Persondatalovens bestemmelser og efter godkendelse af behandlingen i de enkelte udvalg, jfr. Sikkerhedsregulativets kapitler 13 og 14.
11. Anmodninger om indsigt i behandling
I 2002 blev der fremsat anmodning fra borgere om såvel generel som specifik indsigt i behandlinger. Anmodningerne har ikke givet anledning til særlige bemærkninger.
12. Konklusion
Sammenfattende konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i år 2002 ikke giver anledning til særlige bemærkninger.
Afrapportering vedrørende forhold, der ikke er afsluttet inden udgangen af 2002, vil blive medtaget i årsberetningen for 2003.
Økonomi
-
Høring
IT-sikkerhedsårsberetningen er afgivet med baggrund i de IT-sikkerheds-årsberetninger, der er fremlagt i de enkelte udvalg om IT-sikkerhedarbejdets forløb i 2002.
Miljøvurdering
-
-
Bilag
· Revisionserklæring for 2002 om Kommunernes Revisionsafdelings edb-revision i Kommunedata A/S.
· Datatilsynets afrapportering fra inspektion i Økonomiforvaltningen (Rådhusdelen), dateret 19. maj 2003.
· Datatilsynets afrapportering fra inspektion i Familie- og Arbejdsmarkedsforvaltningen, dateret 21. marts 2003.
Erik Jacobsen
/Flemming Dubgaard Hansen