Årsberetning for 2005 vedrørende IT-sikkerhedsområdet
Årsberetning for 2005 vedrørende IT-sikkerhedsområdet
Borgerrepræsentationen
DAGSORDEN
for Ordinært møde torsdag den 14. december 2006
BR 710/06
Årsberetning for 2005 vedrørende IT-sikkerhedsområdet
Årsberetning for 2005 vedrørende IT-sikkerhedsområdet
Indstilling om,
at årsberetningen for 2005 vedrørende IT-sikkerhedsområdet tages til efterretning.
(Økonomiudvalget)
Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,
at årsberetningen for 2005 vedrørende IT-sikkerhedsområdet tages til efterretning.
Økonomiudvalgets beslutning i mødet den 5. december 2006
Anbefalet.
RESUME
Årsberetningen afgives i henhold til § 20 i 'Regulativ for IT-sikkerhed i Københavns Kommune' (sikkerhedsregulativet), som blev godkendt i Borgerrepræsentationen den 22. august 2002.
Sammenfattende kan det konkluderes, at arbejdet inden for
IT-sikkerhedsområdet i 2005 ikke har givet anledning til særlige bemærkninger.
Strukturreformen, der blev endeligt gennemført 1. januar 2006, betød i
2005 ændringer i forhold til sikkerhedsorganisationen. Forvaltningernes sikkerhedsledere
igangsatte derfor i 2005 en række aktiviteter med henblik på at sikre, at de
direkte berørte medarbejdere fik ændret autorisationer og organisatorisk
tilhørsforhold m.v. i IT-systemerne.
For så vidt angår den daglige sikkerhedsadministration og
nye tiltag, er der bl.a. sat fokus på at få udarbejdet risikoanalyser og
behandle indsigtsanmodninger korrekt. Endvidere har Borgerrepræsentationens Sekretariatet
i 2005 rettet henvendelse til forvaltningerne med henblik på, at tv-overvågning
blev anmeldt til Datatilsynet. Ved udgangen af året har Datatilsynet bedt om yderligere oplysninger i
sagen for at kunne vurdere anmeldelsen.
I forhold til sikkerhedshændelser er der i løbet af 2005 konstateret sikkerhedsbrud i nogle af forvaltningerne. Sagerne er alle blevet behandlet efter de gældende regler, og der er taget de påkrævede tjenstlige disciplinære skridt overfor medarbejderne.
Kommunens tværgående eksterne databehandlere har som hidtil afleveret revisorerklæring, og disse konkluderer, at de generelle IT-kontroller har været opretholdt.
I november 2005 overtog KMD lønanvisningen fra Accenture, og kommunen
overgik samtidig til KMD's lønsystem. KMD's sikkerhedsafdeling foretager nu den
daglige sikkerhedsadministration vedrørende KMD's lønmedarbejdere og
opfølgningen herpå.
SAGSBESKRIVELSE
Overborgmesteren og de enkelte borgmestre skal afgive en årsberetning om sikkerhedsarbejdets forløb inden for hver deres fagområde. Fagudvalgene orienteres om de enkelte årsberetninger og Overborgmesteren koordinerer beretningerne med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen, jf. § 20 i sikkerhedsregulativet.
1. Lov om behandling af personoplysninger
Der er ikke i år 2005 sket ændringer i lovgrundlaget, som udgør:
· Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven)
· Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
· Datatilsynets vejledning nr. 37 af 2. april 2001.
2. Regulativ for IT-sikkerhed i Københavns
Kommune
Grundlaget for
IT-sikkerhedsadministrationen i forvaltningerne er sikkerhedsregulativet.
Regulativet blev godkendt af Borgerrepræsentationen d. 22. august 2002 og er tilgængeligt
på kommunens intranet og hjemmeside.
Det fremgår af Sikkerhedsregulativets § 6 stk. 2, at
Økonomiudvalget fastsætter minimumsbestem-melser efter indstilling fra de ansvarlige
enheder i Økonomiforvaltningen. Der er i 2005 udarbejdet oplæg til minimumsbestemmelser
for systemudvikling og systemvedligeholdelse, driftsafvikling, identifikation
af brugere, sikring og anvendelse af kommunikationsforbindelser, anvendelse af
elektroniske postsystemer og Internettet, fysisk sikke
rhed og nødberedskab.
Dette oplæg til minimumsbestemmelserne har efterfølgende været sendt
i høring hos kredsen af sikkerhedsledere og kommunens
IT-styregruppe (forvaltningernes IT-ansvarlige). Minimumsbestemmelserne
forventes at blive forelagt Økonomiudvalget, når de er revurderet under
hensyntagen til strukturændringerne i 2006.
3. IT-sikkerhedsorganisationen
Økonomiudvalget fører det overordnede tilsyn med sikkerhedsbestemmelserne og koordinerer i forhold til kommunens forvaltninger, jf. sikkerhedsregulativets § 6. Overborgmesteren fungerer på IT-sikkerhedsområdet som sekretær for Økonomiudvalget. Funktionen varetages i det daglige af Borgerrepræsentationens Sekretariat.
Der er ved opbygningen af kommunens sikkerhedsorganisation tilstræbt adskillelse af den kontrollerende og den udførende funktion, ligesom der er tilstræbt uafhængighed af nøglepersoner ved udpegning af stedfortrædere.
Den kontrollerende funktion varetages af sikkerhedslederne, som udpeges af Overborgmesteren og de enkelte borgmestre inden for hver deres område. Sikkerhedsledernes opgaver fremgår af sikkerhedsregulativet.
De udførende funktioner på IT-sikkerhedsområdet varetages af forvaltningernes ledelse, de systemansvarlige og de IT-ansvarlige, hvis opgaver i relation til sikkerhedsregulativet specifikt fremgår af regulativets §§ 12-14 samt §§ 17-18.
IT-sikkerhedsorganisationen efter strukturreformen
I forbindelse med strukturreformen blev der i september 2005 i kredsen af sikkerhedsledere igangsat en række aktiviteter med henblik på at sikre, at de direkte berørte medarbejdere fik ændret autorisationer og organisatorisk tilhørsforhold m.v. i IT-systemerne. Langt de fleste ændringer blev gennemført umiddelbart før årsskiftet, og de resterende ændringer gennemføres i løbet af 2006, jf. nedenfor vedr. dispensation fra sikkerhedsregulativet.
Københavns Skatte- og Registerforvaltning samt Skatteankenævnets Sekretariat overgik til Staten d. 1. november 2005. Folkeregistret og opkrævningsopgaven forblev i Økonomiforvaltningen frem til årsskiftet, hvorefter områderne blev overført til Kultur- og Fritidsforvaltningen.
Det betyder, at Overborgmesteren og de enkelte borgmestre pr. 1. januar 2006 havde udpeget i alt 12 sikkerhedsledere i henhold til § 10 i sikkerhedsregulativet. Årsberetningen for 2005 er afgivet af borgmestrene for de nye forvaltninger, men omfatter alle områder i organisationen i 2005.
De 12 sikkerhedsledere fordeler sig mellem forvaltningerne på følgende måde:
Forvaltning Antal sikkerhedsledere:
Økonomiforvaltningen (Rådhusdelen, KØR og Borgerservice) 3
Kultur- og Fritidsforvaltningen 1
Sundheds- og Omsorgsforvaltningen 1
Socialforvaltningen 1
Børne- og Ungdomsforvaltningen 1
Teknik- og Miljøforvaltningen (Brandvæsenet og øvrig forvaltning) 2
Beskæftigelses- og Integrationsforvaltningen 1
Revisionsdirektoratet 1
Borgerrådgiveren 1
4. Den daglige sikkerhedsadministration og nye tiltag
Sikkerhedslederne foretager den daglige sikkerhedsadministration på basis af de sikkerheds-systemer, der enten er indbygget i eller koblet på de IT-systemer, som anvendes inden for det pågældende sikkerhedsområde. Disse opgaver kræver stadig flere ressourcer i forvaltningerne til oprettelse og vedligeholdelse af kommunens brugere og deres autorisationer i sikkerheds-systemerne, og samtidig stiger kompleksiteten på grund af flere brugere og flere IT-systemer m.v.
Borgerrepræsentationen godkendte som nyt tiltag d. 26. august 2004 (BR 378/04) en indstilling vedrørende igangsættelse af et EU-udbud omhandlende et fælles IT-sikkerhedsadministrations-system og sikkerhedsadministration. Projektet fik navnet rollebaseret adgangskontrol (RBAK). Styregruppen har imidlertid i december 2005 konstateret, at det ikke har været muligt at udarbejde en business case for projektet. Dette sammenholdt med eksterne konsulenters anbefaling om, at anskaffelsen af en sikkerhedsløsning skal ske i forbindelse med anskaffelse af en ny teknisk platform, har bevirket, at projektet er stillet i bero. Der vil blive udarbejdet en redegørelse til Økonomiudvalget og Borgerrepræsentationen med forslag til den videre proces for realisering af intentionerne bag forslaget.
Dispensation fra sikkerhedsregulativet
Som en konsekvens af strukturreformen godkendte Økonomiudvalget d. 13. december 2005, at der i en
overgangsperiode kunne afviges fra sikkerhedsregulativet. Det indebar, at
opgaver i forbindelse med autorisation m.v. af medarb
ejdere til de enkelte
IT-systemer i en forvaltning samt kontrol heraf kunne udføres af en sikkerhedsleder
i en anden forvaltning. En forudsætning herfor var, at det skete efter en
entydig og skriftlig delegation.
Risikoanalyser
Det følger blandt andet af sikkerhedsregulativets § 6, at Økonomiudvalget skal fastlægge det overordnede IT-sikkerhedsniveau ud fra en risikovurdering i de enkelte forvaltninger. Familie- og Arbejdsmarkedsforvaltningen samt Bygge- og Teknikforvaltningen har udarbejdet analyser på området. Borgerrepræsentationens Sekretariat tog i oktober måned initiativ til, at det i et brev til de administrerende direktører blev indskærpet, at der snarest muligt skulle foretages en risikoanalyse for de resterende forvaltningers vedkommende. Disse forventes færdiggjort i løbet af 2006.
Nødberedskab
Det fremgår af sikkerhedsregulativets § 33, at den enkelte
forvaltning skal sikre, at IT-ydelser kan reetableres betids og i fornødent
omfang i tilfælde af helt eller delvist bortfald af IT-faciliteter. Der har i
2004 været foretaget test af driftsmiljøet hos kommunens eksterne databehandler
(nu IBM, tidl. DM-data). Der skulle have været foretaget en ny test af
Københavns Kommunes Økonomi- og Regnskabssystem (KØR),
men denne er imidlertid blevet udskudt grundet implementeringen af et nyt KØR.
Testen planlægges gennemført efter januar 2007.
Behandling af indsigtsanmodninger
Borgerrepræsentationens Sekretariatet gennemgik først på året reglerne for behandling af indsigtsanmodninger for sikkerhedslederne. De fik i den forbindelse udleveret et paradigma til besvarelse af indsigtsbegæringer, som lever op til de lovgivningsmæssige krav. Der blev samtidig mundtligt og skriftligt orienteret om forskellen mellem indsigt efter persondataloven og aktindsigt efter henholdsvis forvaltningsloven og offentlighedsloven.
Tv-overvågning
I februar måned blev sekretariatet opmærksom på, at der foretoges tv-overvågning i Københavns Kommune, som i flere tilfælde ikke var anmeldt til Datatilsynet. Sekretariatet rettede derfor henvendelse til forvaltningerne med henblik på at få foretaget de nødvendige anmeldelser. Sikkerhedslederne blev i den forbindelse opfordret til at få udarbejdet retningslinjer for tv-overvågning med udgangspunkt i et omdelt notat vedrørende reglerne på området.
Efter en længerevarende dataindsamlingsproces, hvor samtlige tv-overvågninger blev oplistet, vurderede sekretariatet, at der kunne foretages en samlet anmeldelse af tv-overvågningen til Datatilsynet, idet anmeldelsen omfattede en række behandlinger af samme type og med identiske formål.
Den 1. november 2005 godkendte Økonomiudvalget, at de oplistede tv-overvågning/behandling af personoplysninger blev foretaget, samt at der efterfølgende skete anmeldelse til Datatilsynet. Ved udgangen af 2005 havde Datatilsynet bedt om yderligere oplysninger i sagen for at kunne vurdere anmeldelsen.
Anskaffelse af Trådløst netværk (WIFI)
Økonomiforvaltningen har på baggrund af et voksende ønske om at kunne tilgå forvaltningens netværk ved hjælp af trådløs forbindelse besluttet at implementere en sådan løsning på Rådhuset. Teknologien bag trådløst netværk har været omdiskuteret i forhold til IT-sikkerheden. Økonomiforvaltningen har imidlertid skønnet, at teknologien nu er så udviklet, at det vil være muligt at implementere en løsning, som vil kunne leve op til sikkerhedskravene. Projektet retter sig i første omgang kun mod BR-medlemmer, medarbejdere samt samarbejdspartnere. Løsningen skal efter idriftsættelse kunne implementeres i alle kommunens forvaltninger. Projektet bliver løbende implementeret og forventes endeligt afsluttet ultimo 2006.
5. IT-sikkerheden i de enkelte forvaltninger
Al adgang til IT-systemer er betinget af en konkret autorisation fra en sikkerhedsleder. Antallet af brugere, der er autoriseret til kommunens netværk udgør ca. 22.000. Antallet af autorisationer til brugere, der er autoriseret til et eller flere af kommunens IT-systemer udgør ca. 45.000. Det bemærkes, at en medarbejder ofte har adgang til mere end et system, hvorfor antallet af autoriserede brugere til netværket ikke svarer til antallet af autoriserede brugere til systemerne. Hovedparten af medarbejderne er autoriseret til systemer, der driftsafvikles hos IBM (tidl. DM-data). Et mindre antal brugere er autoriseret til systemer, der driftsafvikles hos andre edb-servicebureauer samt internt i forvaltningerne på lokale servere.
Af sikkerhedsregulativets § 16 og § 18 fremgår det, at de enkelte forvaltninger skal udarbejde uddybende IT-sikkerhedsbestemmelser. Det sker i form af en sikkerhedsinstruks og sikkerhedsforskrifter, hvori forretningsgange for sikkerhedslederens og den IT-ansvarliges opgaver fastsættes. IT-sikkerhedsbestemmelserne er udarbejdet for de enkelte sikkerhedsområder med undtagelse af Revisionsdirektoratet. De afventer i løbet af 2006 en afklaring på en påtænkt outsourcing af direktoratets interne IT-netværksdrift til Økonomiforvaltningen.
6. Opfølgning på
sikkerhedshændelser
I Københavns Borgerservice er der konstateret ét sikkerhedsbrud i forbindelse med sidemandsoplæring i CPR-registret. Den pågældende medarbejder redegjorde umiddelbart efter overtrædelsen for bruddet til den respektive centerchef. Den personalemæssige konsekvens af overtrædelsen blev håndteret svarende til karakteren af overtrædelsen og har ikke givet anledning til y derligere undersøgelser.
I Familie- og Arbejdsmarkedsforvaltningen er det konstateret, at en medarbejder har anvendt sin adgang til IT-systemerne til at få udbetalt ydelser til sig selv. Der er taget de påkrævede tjenstlige disciplinære skridt over for medarbejderen, og sagen er anmeldt til politiet.
I samme forvaltning har en medarbejder benyttet sin adgang til personoplysninger til at se oplysninger om en tidligere bekendt. Sagen er behandlet efter de gældende regler, og der er taget de påkrævede tjenstlige disciplinære skridt overfor medarbejderen.
I Kultur- og Fritidsforvaltningen er der i løbet af 2005 konstateret syv sikkerhedsbrud:
- En medarbejder har installeret programmer, der har forårsaget virusadvarsler. Medarbejderen har fået en mundtlig påtale.
- Flere medarbejdere har i en enhed delt password. Sagen er påtalt mundtligt overfor lederen.
- En medarbejder har videregivet sit password til en anden medarbejder, hvilket har medført en skriftlig advarsel og udskiftning af password.
- Nogle medarbejdere har haft installeret programmel, indeholdende pornografisk materiale, hvilket i ét tilfælde resulterede i en advarsel første gang og en afskedigelse anden gang. I det andet tilfælde er brugeren blevet bedt om at fjerne programmel og billeder.
- Et sikkerhedsbrud var en fejl, og to øvrige tilfælde har ikke kunnet efterspores.
I de øvrige IT-sikkerhedsårsberetninger er ikke nævnt særlige forhold.
7.
Henvendelser fra Datatilsynet
Der har ikke været nogen henvendelser fra Datatilsynet i 2005. I årsberetningen for 2004 fremgik det, at Københavns Skatte- og Registerforvaltning havde modtaget en henvendelse fra Datatilsynet. Henvendelsen vedrørte samme sag, som er nævnt i årsberetningen om IT-sikkerhed for 2003 og var en opfølgning på den tidligere henvendelse. Sagen var ikke færdigbehandlet i 2004 grundet travlhed og afventer ved udgangen af 2005 fortsat Datatilsynets afgørelse.
8. Kommunens eksterne databehandlere
Langt den overvejende del af kommunens IT-systemer driftsafvikles hos
IBM (tidligere DM-data). Systemudvikling
og systemvedligeholdelse af de enkelte IT-systemer sker dels hos KMD dels hos
andre større eksterne virksomheder. De har alle indgået databehandlingsaftale
med kommunen for at sikre, at databehandlerne teknisk og organisatorisk træffer
de nødvendige sikkerhedsforanstaltninger, jf. persondatalovens § 42 samt sikkerhedsregulativets
§ 31. Det fremgår af databehandlingsaftalen, at databehandlerne årligt skal
fremsende en revisionserklæring. Erklæringerne konkluderer, at de generelle
IT-kontroller har været opretholdt.
Af årsberetningen for 2004 fremgik det i en enkel revisorerklæring, at leverandøren ikke havde færdiggjort en formel IT-sikkerhedspolitik, ligesom leverandøren ikke havde udarbejdet en egentlig plan for nødberedskab for IT-anvendelse. Leverandøren har i 2005 efter anmodning fra Borgerrepræsentationens Sekretariat redegjort for hvilke tiltag, der er iværksat for at forbedre sikkerheden. Tiltagene er efter Borgerrepræsentationens Sekretariats vurdering tilfredsstillende.
I november måned 2005 overtog KMD lønanvisningen fra Accenture og kommunen overgik samtidig til KMD's lønsystem. KMD udgør et selvstændigt sikkerhedsområde i kommunens sikkerhedsadministrationssystem, og KMD's sikkerhedsafdeling foretager nu også den daglige sikkerhedsadministration vedrørende KMD's lønmedarbejdere og opfølgningen herpå. Autorisationer til medarbejdere i Accenture, der deltager i oprydningsarbejde i forbindelse med lønadministrationen lukkes først i løbet af 2006.
I forbindelse med overgangen til DM-data som driftsleverandør for kommunen i september 2002 blev en kortlægning af den automatiske dataudveksling til/fra kommunens IT-systemer iværksat.
Projektet er afsluttet, og der er udarbejdet en vejledning til forvaltningerne og de systemansvarlige - en såkaldt Pixi-bog - med titlen: "Hvorfor indgå skriftlige aftaler i det hele taget?". Vejledningen er tilgængelig på kommunens intranet.
9. Anmeldelser til Datatilsynet
Anmeldelse til Datatilsynet af be handlinger foretages løbende i henhold til persondatalovens bestemmelser og efter godkendelse af behandlingen i de enkelte udvalg, jf. sikkerhedsregulativets kapitel 13 og 14.
I 2005 blev Borgerrådgiverens behandling af personoplysninger formelt anmeldt til Datatilsynet. Anmeldelserne blev forinden d. 18. januar 2005 godkendt af Økonomiudvalget, jf. sikkerhedsregulativets § 47, stk. 2. Desuden er der i beretningsåret sket anmeldelse af Borgerrådgiverens retsinformationssystem til Datatilsynet. Anmeldelsen blev godkendt af Økonomiudvalget d. 16. august 2005, jf. sikkerhedsregulativets § 47, stk. 2. Denne anmeldelse omfatter udarbejdelsen af de sagsresuméer, som gengives i den årlige beretning, herunder behandling af personoplysninger til brug for et retsinformationssystem, hvor udtalelser i anonymiseret form offentliggøres.
Sundhedsforvaltningen anmeldte seks behandlinger til Datatilsynet. Disse er 'Kost- og Motion på recept', 'System til Dialogvisitation' og 'BUM på plejehjem', 'Brugertilfredshedsundersøgelse i hjemmeplejen og i plejeboliger og undersøgelse af medarbejdernes trivsel', 'System til Børne- og Ungdomstandplejen', 'System til Amtstandplejen' samt 'Amtsspecialtandplejen'.
Bygge- og Teknikforvaltningen anmeldte 'Persondatabase til kompetenceudvikling og videndeling' og 'Videoovervågning' til tilsynet.
Uddannelses- og Ungdomsforvaltningen anmeldte 'Skoleintranet og ekstranet med undervisningsplanlægningskommunikation og vidensdelingsfaciliteter' til tilsynet.
En samlet anmeldelse for alle forvaltninger af
tv-overvågning er desuden foretaget i 2005, jf. ovenfor.
10. Anmodninger om indsigt i behandling
I 2005 blev der fremsat ti generelle anmodninger til kommunen fra borgere om indsigt i kommunens databehandlinger tillige med enkelte specifikke anmodninger rettet mod forvaltningerne. Anmodningerne har ikke givet anledning til særlige bemærkninger.
11. Konklusion
Sammenfattende kan det konkluderes, at arbejdet inden for IT-sikkerhedsområdet i år 2005 ikke giver anledning til særlige bemærkninger.
Afrapportering vedrørende forhold, der ikke er afsluttet inden udgangen af 2005, vil blive medtaget i årsberetningen for 2006.
ØKONOMI
-
HØRING
IT-sikkerhedsårsberetningen er afgivet på baggrund af de IT-sikkerhedsårsberetninger, der er fremlagt i de enkelte udvalg om IT-sikkerhedsarbejdets forløb i 2005.
MILJØVURDERING
-
ANDRE KONSEKVENSER
-
BILAG
-
Claus Juhl
/