Styrkelse af it-sikkerheden
Der indstilles to modeller for finansiering til styrkelse af it-sikkerheden. Første model, som følger af vedtagelse af 1. at-punkt, minimerer risici hurtigst muligt, men reducerer servicerammerne i forvaltningerne fra 2017, som dermed selv skal tilvejebringe finansiering til forslaget. Vedtagelse af 2. at-punkt udskydes beslutningen med de risici, der er forbundet med dette.
Indstilling og beslutning
Indstilling om,
- at de foreslåede initiativer til styrkelse af it-sikkerheden gennemføres, finansieret af ny anlægsbevilling med tilhørende rådighedsbeløb på 9,5 mio. kr. i 2015 og øget driftsbevilling på 3,8 mio. kr. i 2016. Der anvises dækning for beløbene på tværs af udvalgene fra 2017 og frem jf. tabel 1. De bevillingsmæssige ændringer indarbejdes i sagen om tekniske bevillingsmæssige ændringer.
(Økonomiudvalget)
Problemstilling
Koncernservice (KS) orienterede den 9. december 2014 (på aflæggerbordet) Økonomiudvalget om status for aktuelle it-sikkerhedsaktiviteter og om gennemført ekstern vurdering af it-sikkerhedsniveauet i Københavns Kommune, dvs. både i KS og i forvaltningerne, udført af konsulentfirmaet PwC (PricewaterhouseCoopers).
PwC’ undersøgelse viser, at Københavns Kommune står med en række helt konkrete udfordringer, som det er nødvendigt at løse hurtigst muligt. PwC’ undersøgelse viser således, at Københavns Kommunes samlede modenhed på It-sikkerhedsområdet på baggrund af det nye trusselsbillede vurderes til 1,8 på en skala fra 1 til 5, hvor 5 er udtryk for det højeste modenhedsniveau.
KS vurderer, at det er tvingende nødvendigt at hæve modenhedsniveauet, således at Københavns Kommune over en kort årrække når et samlet modenhedsniveau på 4 på alle dele af It-sikkerhedsområdet.
På det ønskede modenhedsniveau 4 vil Københavns Kommune have øget de tekniske muligheder for at imødegå den type angreb, der følger med det nye trusselsbillede, og dermed være i stand til at styre data og personfølsomme oplysninger forsvarligt og professionelt. Samtidig vil det være muligt at dokumentere, at lovgivningen på området fortsat bliver overholdt og imødekomme forventede revisionsbemærkninger på området.
Det er nødvendigt at foretage investeringer som foreslået i denne indstilling, og det er nødvendigt at forbedre overvågning og opfølgning på logning af anvendelsen af systemer med person- og værdidata.
Det nye trusselsbillede betyder, at der er en væsentlig forøget risiko for at den enkelte forvaltning står overfor hidtil usete brud på informationssikkerheden.
Løsning
De foreslåede initiativer vil reducere denne risiko væsentligt. Der er konkret tale om:
- Styring af informationssikkerhed gennem anskaffelse og drift af en log- og event management-løsning.
- Etablering af ny struktur på datanetværket.
- Styring af lokale administrationsrettigheder.
- Ekstern overvågning af hændelser på netværket (Secure DNS).
- Webscanner.
- Foranalyse og etablering af business case vedrørende automatisering af adgangsstyring.
- Evt. yderligere initiativer på baggrund af udvikling i trusselsbillede og på baggrund af evt. ændret lovgivning i forlængelse af kommende EU-forordning om persondata mv.
De enkelte initiativer er uddybet i bilag 1.
Alle foreslåede aktiviteter er i overensstemmelse med aktuelle anbefalinger fra Digitaliseringsstyrelsen, det statslige Center for Cybersikkerhed og fra Økonomikredsen.
Det bemærkes, at Borgerrådgiveren aktuelt er i færd med at færdiggøre egen driftsundersøgelse om sikring af borgernes personoplysninger. Det er KS' opfattelse efter løbende dialog med Borgerrådgiveren, at han i sin endelige rapport vil adressere de væsentligste af de nævnte problemstillinger, herunder den manglende opfølgning på hvorvidt de iværksatte sikkerhedsforanstaltninger i forvaltningerne, for så vidt angår kontrol med autorisation og kontrol med afviste adgangsforsøg samt log-opfølgning, er tilstrækkelige.
Overførelse af ansvaret for overvågnings- og opfølgningsopgaven vedr. logning fra forvaltningerne til KS
Som led i anskaffelse af en såkaldt SIEM-løsning (SIEM består af centraliseret software og services, som overvåger trafik og hændelser i datanetværk og it-installationer), jf. punkt a ovenfor, foreslås det fra 2016 løbende at overføre ansvaret for overvågnings- og opfølgningsopgaven vedrørende logning for systemer med person- og værdidata fra forvaltningerne til KS.
Ansvaret foreslås at overgå ved konkret aftale mellem KS og forvaltningerne om det enkelte system, således at ansvaret først overgår, når forvaltningen har sikret, at systemet er opsat, så det er muligt at foretage central logning og overvågning af trafikken.
Eventuelle omkostninger til at opsætte systemet så data kan afleveres til den centrale overvågning vil skulle afholdes af forvaltningen. KS vurderer, at sådanne omkostninger i givet fald vil være begrænsede.
Forvaltningernes systemejere vil skulle medvirke til etablering af den centrale overvågning, dels ved i samarbejde med KS at opstille et normalbillede for trafik i det enkelte fagsystem, der kan danne grundlag for identifikation af evt. afvigende brugsmønster og dels ved løbende at være i dialog med KS om konkrete hændelser og ændringer. Forvaltningerne vil ligeledes skulle indarbejde mulighed for central logning som krav i forbindelse med anskaffelse af nye systemløsninger.
Specialiserede KS medarbejdere vil i samarbejde med forvaltningerne prioritere rækkefølgen for etablering af overvågning ud fra en konkret risikovurdering, således at der hurtigst muligt etableres overvågning af de væsentligste systemer. KS vurderer på baggrund af rådgivning fra PwC, at det vil tage flere år, før processen er helt afsluttet for de sidste systemer.
Økonomi
Såfremt 1. at-punkt tiltrædes, vil de bevillingsmæssige konsekvenser af sagen være, som det fremgår af tabel 1 nedenfor. Disse dækker gennemførelse af de ovenfor beskrevne aktiviteter samt overførelse af opgaver fra forvaltningerne til KS i 2016. Der er ændringer i både drifts- og anlægsbevillinger.
Tabel 1. Bevillingsmæssige konsekvenser
At-punkt |
Udvalg |
Bevilling |
Funktion |
Indtægt (I) / |
Beløb i 1.000 kr.* |
Varig? |
|||
(nr. og navn) |
Udgift (U) |
(15-pl) |
ja/nej |
||||||
2015 |
2016 |
2017 |
2018 |
||||||
1 |
ØU |
3190 Koncern-service, anlæg |
U |
9.490 |
|
|
|
nej |
|
1 |
ØU |
1190 Koncern-service, service |
U |
|
3.816 |
6.669 |
7.970 |
ja |
|
1 |
BIU |
Service |
U |
|
|
-659 |
-659 |
ja |
|
1 |
KFU |
Service |
U |
|
|
-512 |
-512 |
ja |
|
1 |
BUU |
Service |
U |
|
|
-1.206 |
-1.206 |
ja |
|
1 |
SUD |
Service |
U |
|
|
-1.846 |
-1.846 |
ja |
|
1 |
SOU |
Service |
U |
|
|
-1.623 |
-1.623 |
ja |
|
1 |
TMU |
Service |
U |
|
|
-641 |
-641 |
ja |
|
1 |
ØU |
Service |
U |
|
|
-177 |
-177 |
ja |
|
1 |
BRådg |
Service |
U |
|
|
-3 |
-3 |
ja |
|
1 |
IR |
Service |
U |
|
|
-2 |
-2 |
ja |
|
I alt |
- |
- |
- |
- |
9.490 |
3.816 |
0 |
0 |
- |
ØU=Økonomiudvalget, BIU= Beskæftigelse- og Integrationsudvalget, SUD=Socialudvalget, SOU= Sundheds- og Omsorgsudvalget, BUU= Børne- og Ungdomsudvalget, TMU= Teknik- og Miljøudvalget, BRådg= Borgerrådgiverudvalget og IR=Revisionsudvalget.
*Øgede indtægter er indikeret med negativt fortegn, mens reducerede indtægter er indikeret med positivt fortegn. Øgede udgifter er indikeret med positivt fortegn, mens reducerede udgifter er indikeret med negativt fortegn.
De samlede anlægsudgifter på 9,5 mio. kr. og driftsudgifterne i 2016 på 3,8 mio. kr. søges finansieret som internt lån på samlet 13,3 mio. kr. over en 5-årig periode med første afdrag i 2017.
Driftsudgifterne har en stigende profil til 6,7 mio. kr. i 2017 og 8,0 mio. kr. 2018 og frem. Den stigende profil skyldes afledt drift af anlægsaktiviteterne, betalingsforskydninger på software-kontrakter samt renter og afdrag på det interne lån. Renter og afdrag på det interne lån udgør alene 2,9 mio. kr. årligt fra 2017.
Det samlede finansieringsbehov ønskes dækket af udvalgene gennem overførelse af driftsbevilling fra 2017, hvor de første ydelser på lånene falder. Bevillingsændringerne er foreløbigt opgjort på forvaltningsniveau, idet de præcise bevillingsmæssige ændringer vil indgå i næste sag om bevillingsmæssige ændringer.
Frigivelse af anlægsmidlerne er beskrevet i tabel 2 nedenfor.
Tabel 2. Anlægsbevillinger – frigivelse af anlægsmidler |
||||||||||
Udvalg |
Aktivitet/projekt |
Bevilling |
Funktion |
Beløb i 1.000 kr. |
||||||
(nr. og navn) |
(15-pl) |
|||||||||
2015 |
2016 |
2017 |
2018 |
|||||||
ØU |
Styrkelse af it-sikkerheden |
3190 Koncernservice, anlæg |
|
9.490 |
|
|
|
|||
I alt |
- |
- |
- |
9.490 |
0 |
0 |
0 |
|||
ØU=Økonomiudvalget
Såfremt 2. at-punkt tiltrædes, vil Økonomiforvaltningen fremlægge initiativerne vedr. it-sikkerhed som forslag til forhandlingerne om budget 2016.
Videre proces
Såfremt 1. at-punkt tiltrædes, vil initiativerne igangsættes umiddelbart efter vedtagelsen af denne indstilling. De bevillingsmæssige konsekvenser vil blive indarbejdet i næste sag om bevillingsmæssige ændringer.
Såfremt 2. at-punkt tiltrædes, vil initiativerne først blive igangsat efter budgetvedtagelsen, såfremt der disponeres midler til initiativerne.
KS følger udviklingen på it-sikkerhedsområdet og vurderer kommunens modenhed i forhold til det aktuelle trusselsbillede. I den sammenhæng vil KS fremlægge forslag om evt. yderligere initiativer løbende, såfremt udviklingen gør det nødvendigt.
Oversigt over politisk behandling
1. at de foreslåede initiativer til styrkelse af it-sikkerheden gennemføres, finansieret af ny anlægsbevilling med tilhørende rådighedsbeløb på 9,5 mio. kr. i 2015 og øget driftsbevilling på 3,8 mio. kr. i 2016. Der anvises dækning for beløbene på tværs af udvalgene fra 2017 og frem jf. tabel 1. De bevillingsmæssige ændringer indarbejdes i sagen om tekniske bevillingsmæssige ændringer,
eller,
2. at finansiering af styrkelse af it-sikkerheden i kommunen indgår i forhandlingerne om budget 2016.
Økonomiudvalgets beslutning i mødet den 14. april 2015
Indstillingens 1. at-punkt blev anbefalet over for Borgerrepræsentationen uden afstemning.
Beslutning
Borgerrepræsentationens beslutning i mødet den 30. april 2015
Indstillingen blev godkendt uden afstemning.