Styrkelse af it-sikkerheden

Indstilling om, 

1. at de foreslåede initiativer til styrkelse af it-sikkerheden gennemføres, finansieret af ny anlægsbevilling med tilhørende rådighedsbeløb på 9,5 mio. kr. i 2015 og øget driftsbevilling på 3,8 mio. kr. i 2016. Der anvises dækning for beløbene på tværs af udvalgene fra 2017 og frem jf. tabel 1. De bevillingsmæssige ændringer indarbejdes i sagen om tekniske bevillingsmæssige ændringer.

(Økonomiudvalget)

Koncernservice (KS) orienterede den 9. december 2014 (på aflæggerbordet) Økonomiudvalget om status for aktuelle it-sikkerhedsaktiviteter og om gennemført ekstern vurdering af it-sikkerhedsniveauet i Københavns Kommune, dvs. både i KS og i forvaltningerne, udført af konsulentfirmaet PwC (PricewaterhouseCoopers).

PwC’ undersøgelse viser, at Københavns Kommune står med en række helt konkrete udfordringer, som det er nødvendigt at løse hurtigst muligt. PwC’ undersøgelse viser således, at Københavns Kommunes samlede modenhed på It-sikkerhedsområdet på baggrund af det nye trusselsbillede vurderes til 1,8 på en skala fra 1 til 5, hvor 5 er udtryk for det højeste modenhedsniveau.

KS vurderer, at det er tvingende nødvendigt at hæve modenhedsniveauet, således at Københavns Kommune over en kort årrække når et samlet modenhedsniveau på 4 på alle dele af It-sikkerhedsområdet.

På det ønskede modenhedsniveau 4 vil Københavns Kommune have øget de tekniske muligheder for at imødegå den type angreb, der følger med det nye trusselsbillede, og dermed være i stand til at styre data og personfølsomme oplysninger forsvarligt og professionelt. Samtidig vil det være muligt at dokumentere, at lovgivningen på området fortsat bliver overholdt og imødekomme forventede revisionsbemærkninger på området.

Det er nødvendigt at foretage investeringer som foreslået i denne indstilling, og det er nødvendigt at forbedre overvågning og opfølgning på logning af anvendelsen af systemer med person- og værdidata.

Det nye trusselsbillede betyder, at der er en væsentlig forøget risiko for at den enkelte forvaltning står overfor hidtil usete brud på informationssikkerheden.

De foreslåede initiativer vil reducere denne risiko væsentligt. Der er konkret tale om: 

1. Styring af informationssikkerhed gennem anskaffelse og drift af en log- og event management-løsning.
2. Etablering af ny struktur på datanetværket.
3. Styring af lokale administrationsrettigheder.
4. Ekstern overvågning af hændelser på netværket (Secure DNS).
5. Webscanner.
6. Foranalyse og etablering af business case vedrørende automatisering af adgangsstyring.
7. Evt. yderligere initiativer på baggrund af udvikling i trusselsbillede og på baggrund af evt. ændret lovgivning i forlængelse af kommende EU-forordning om persondata mv.  

De enkelte initiativer er uddybet i bilag 1.

Alle foreslåede aktiviteter er i overensstemmelse med aktuelle anbefalinger fra Digitaliseringsstyrelsen, det statslige Center for Cybersikkerhed og fra Økonomikredsen.

Det bemærkes, at Borgerrådgiveren aktuelt er i færd med at færdiggøre egen driftsundersøgelse om sikring af borgernes personoplysninger. Det er KS' opfattelse efter løbende dialog med Borgerrådgiveren, at han i sin endelige rapport vil adressere de væsentligste af de nævnte problemstillinger, herunder den manglende opfølgning på hvorvidt de iværksatte sikkerhedsforanstaltninger i forvaltningerne, for så vidt angår kontrol med autorisation og kontrol med afviste adgangsforsøg samt log-opfølgning, er tilstrækkelige.

Overførelse af ansvaret for overvågnings- og opfølgningsopgaven vedr. logning fra forvaltningerne til KS

Som led i anskaffelse af en såkaldt SIEM-løsning (SIEM består af centraliseret software og services, som overvåger trafik og hændelser i datanetværk og it-installationer), jf. punkt a ovenfor, foreslås det fra 2016 løbende at overføre ansvaret for overvågnings- og opfølgningsopgaven vedrørende logning for systemer med person- og værdidata fra forvaltningerne til KS.

Ansvaret foreslås at overgå ved konkret aftale mellem KS og forvaltningerne om det enkelte system, således at ansvaret først overgår, når forvaltningen har sikret, at systemet er opsat, så det er muligt at foretage central logning og overvågning af trafikken.

Eventuelle omkostninger til at opsætte systemet så data kan afleveres til den centrale overvågning vil skulle afholdes af forvaltningen. KS vurderer, at sådanne omkostninger i givet fald vil være begrænsede.

Forvaltningernes systemejere vil skulle medvirke til etablering af den centrale overvågning, dels ved i samarbejde med KS at opstille et normalbillede for trafik i det enkelte fagsystem, der kan danne grundlag for identifikation af evt. afvigende brugsmønster og dels ved løbende at være i dialog med KS om konkrete hændelser og ændringer. Forvaltningerne vil ligeledes skulle indarbejde mulighed for central logning som krav i forbindelse med anskaffelse af nye systemløsninger.

Specialiserede KS medarbejdere vil i samarbejde med forvaltningerne prioritere rækkefølgen for etablering af overvågning ud fra en konkret risikovurdering, således at der hurtigst muligt etableres overvågning af de væsentligste systemer. KS vurderer på baggrund af rådgivning fra PwC, at det vil tage flere år, før processen er helt afsluttet for de sidste systemer.

Såfremt 1. at-punkt tiltrædes, vil de bevillingsmæssige konsekvenser af sagen være, som det fremgår af tabel 1 nedenfor. Disse dækker gennemførelse af de ovenfor beskrevne aktiviteter samt overførelse af opgaver fra forvaltningerne til KS i 2016. Der er ændringer i både drifts- og anlægsbevillinger.

Tabel 1. Bevillingsmæssige konsekvenser

At-punkt	Udvalg	Bevilling	Funktion	Indtægt (I) /	Beløb i 1.000 kr.*				Varig?
		(nr. og navn)		Udgift (U)	(15-pl)				ja/nej
					2015	2016	2017	2018
1	ØU	3190 Koncern-service, anlæg		U	9.490				nej
1	ØU	1190 Koncern-service, service		U		3.816	6.669	7.970	ja
1	BIU	Service		U			-659	-659	ja
1	KFU	Service		U			-512	-512	ja
1	BUU	Service		U			-1.206	-1.206	ja
1	SUD	Service		U			-1.846	-1.846	ja
1	SOU	Service		U			-1.623	-1.623	ja
1	TMU	Service		U			-641	-641	ja
1	ØU	Service		U			-177	-177	ja
1	BRådg	Service		U			-3	-3	ja
1	IR	Service		U			-2	-2	ja
I alt	-	-	-	-	9.490	3.816	0	0	-

ØU=Økonomiudvalget, BIU= Beskæftigelse- og Integrationsudvalget, SUD=Socialudvalget, SOU= Sundheds- og Omsorgsudvalget, BUU= Børne- og Ungdomsudvalget, TMU= Teknik- og Miljøudvalget, BRådg= Borgerrådgiverudvalget og IR=Revisionsudvalget.

*Øgede indtægter er indikeret med negativt fortegn, mens reducerede indtægter er indikeret med positivt fortegn. Øgede udgifter er indikeret med positivt fortegn, mens reducerede udgifter er indikeret med negativt fortegn.

De samlede anlægsudgifter på 9,5 mio. kr. og driftsudgifterne i 2016 på 3,8 mio. kr. søges finansieret som internt lån på samlet 13,3 mio. kr. over en 5-årig periode med første afdrag i 2017.

Driftsudgifterne har en stigende profil til 6,7 mio. kr. i 2017 og 8,0 mio. kr. 2018 og frem. Den stigende profil skyldes afledt drift af anlægsaktiviteterne, betalingsforskydninger på software-kontrakter samt renter og afdrag på det interne lån. Renter og afdrag på det interne lån udgør alene 2,9 mio. kr. årligt fra 2017.

Det samlede finansieringsbehov ønskes dækket af udvalgene gennem overførelse af driftsbevilling fra 2017, hvor de første ydelser på lånene falder. Bevillingsændringerne er foreløbigt opgjort på forvaltningsniveau, idet de præcise bevillingsmæssige ændringer vil indgå i næste sag om bevillingsmæssige ændringer.

Frigivelse af anlægsmidlerne er beskrevet i tabel 2 nedenfor.

Tabel 2. Anlægsbevillinger – frigivelse af anlægsmidler
Udvalg	Aktivitet/projekt	Bevilling	Funktion	Beløb i 1.000 kr.
		(nr. og navn)		(15-pl)
				2015		2016		2017		2018
ØU	Styrkelse af it-sikkerheden	3190 Koncernservice, anlæg		9.490
I alt	-	-	-	9.490		0		0		0

ØU=Økonomiudvalget

Såfremt 2. at-punkt tiltrædes, vil Økonomiforvaltningen fremlægge initiativerne vedr. it-sikkerhed som forslag til forhandlingerne om budget 2016.

Såfremt 1. at-punkt tiltrædes, vil initiativerne igangsættes umiddelbart efter vedtagelsen af denne indstilling. De bevillingsmæssige konsekvenser vil blive indarbejdet i næste sag om bevillingsmæssige ændringer.

Såfremt 2. at-punkt tiltrædes, vil initiativerne først blive igangsat efter budgetvedtagelsen, såfremt der disponeres midler til initiativerne.

KS følger udviklingen på it-sikkerhedsområdet og vurderer kommunens modenhed i forhold til det aktuelle trusselsbillede. I den sammenhæng vil KS fremlægge forslag om evt. yderligere initiativer løbende, såfremt udviklingen gør det nødvendigt.

Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,

1. at de foreslåede initiativer til styrkelse af it-sikkerheden gennemføres, finansieret af ny anlægsbevilling med tilhørende rådighedsbeløb på 9,5 mio. kr. i 2015 og øget driftsbevilling på 3,8 mio. kr. i 2016. Der anvises dækning for beløbene på tværs af udvalgene fra 2017 og frem jf. tabel 1. De bevillingsmæssige ændringer indarbejdes i sagen om tekniske bevillingsmæssige ændringer,

eller,

2. at finansiering af styrkelse af it-sikkerheden i kommunen indgår i forhandlingerne om budget 2016.

Økonomiudvalgets beslutning i mødet den 14. april 2015

Indstillingens 1. at-punkt blev anbefalet over for Borgerrepræsentationen uden afstemning.

 

Borgerrepræsentationens beslutning i mødet den 30. april 2015

 

Indstillingen blev godkendt uden afstemning.