www.nkrf.no » Kommunerevisoren.no » 2013 » Nr. 5

Søk

NKRF
Munkedamsveien 3B
Postboks 1417 Vika
0115 Oslo

Tlf: +47 23 23 97 00

post@nkrf.no

Hopp over seksjon - Til hovedinnhold - Topp

Informasjonssikkerhet i kommunene

Peggy Sandbekken Heie, seniorrådgiver, Norsk senter for informasjonssikring (NorSIS)
NorSIS er en del av regjeringens helhetlig satsing på informasjonssikkerhet i Norge. NorSIS jobber for at informasjonssikkerhet skal bli en naturlig del av hverdagen, gjennom å:
- Bevisstgjøre om trusler og sårbarheter,
- Opplyse om konkrete tiltak gjennom nyheter, råd og veiledninger,
- Påvirke til gode holdninger innen informasjonssikkerhet.
Målgruppen er norske virksomheter i privat og offentlig sektor, og NorSIS skal så langt som mulig også imøtekomme innbyggernes behov. Alle samfunnsgrupper skal kunne dra nytte av våre tjenester.NorSIS er faglig underlagt Justis- og beredskapsdepartementet.

Hvordan står det til med informasjonssikkerheten i norske og nordiske kommuner? Er det verre eller bedre enn vi tror?

For å få til god informasjonssikkerhet, må kommunene satse på kompetansebygging og samhandling. Innbyggerne vil kreve digitale løsninger som er sikre og effektive, med dagens kommunestruktur og kompetansenivå, vil det skape store utfordringer for flere av kommunene. Dette viser resultatene fra Nordsecs kommuneundersøkelse fra 2012.

 «Vi skal digitalisere offentlige tjenester. Norge skal være i front internasjonalt på å levere digitale offentlige tjenester til innbyggere og næringsliv», skriver regjeringen. Dette skal gjøres på en måte som ivaretar personvern og informasjonssikkerhet; det krever at løsningene er sikre og effektive. Sikre og effektive IT-løsninger krever kompetanse og ressurser, som ikke alle kommuner pr. i dag har.

Både i offentlig og privat sektor er det en økende avhengighet til IT. Flere og flere av prosessene som tidligere foregikk på papir, blir nå digitalisert. Dette samsvarer også med forventningene til brukeren; brukerne forventer å finne de tjenestene de trenger på Internett. En slik digitalisering forutsetter at kommunene har ressurser og kunnskap til å vurdere og sikre tilfredsstillende informasjonssikkerhet.

For de største kommunene er tilgang til kompetanse muligens ikke noe stort problem, men de minste kommunene skal også tilby de samme tjenestene. Dette kan fort skape et klasseskille der de minste kommunene enten ikke klarer å tilby de samme tjenestene eller at de ikke greier å gjøre det forsvarlig.

Kommuneundersøkelsen «Nordsec» er en spørreundersøkelse som er gjennomført i Norden for tredje gang; i Norge, Sverige og Danmark. I Norge svarte 83 kommuner og 6 fylkeskommuner på undersøkelsen. Dette tilsvarer en svarprosent på snaut 20. Vi hadde ønsket at virksomhetene hadde større interesse av å få vite egen status for informasjonssikkerhet, særlig burde ledere være opptatt av dette. Sammenlikner man svarene med andre undersøkelser, som Mørketallsundersøkelsen 2012 og Datatilsynets kommuneundersøkelse i 2010, ser vi at svarene i mange tilfeller er sammenfallende.

Undersøkelsens hovedfokus har vært forankring av informasjonssikkerhet i ledelsen, integrering av informasjonssikkerhet i organisasjonens IT-prosesser, hvor langt organisasjonen har kommet med digitalisering av prosesser og hvilke sikringstiltak de har tatt i bruk.

Et nytt tema i undersøkelsen har vært sikkerhetsvurderinger i forbindelse med digitalisering av offentlige tjenester. Spørsmålene er tilrettelagt for å kunne bli sammenlignet med tidligere undersøkelser, standarder, lokale forhold, anvendt sikkerhet, personopplysninger og nasjonale krav.

Bakgrunn for undersøkelsen
Norsk senter for informasjonssikring (NorSIS) har gjennom 10 år jobbet for å bedre informasjonssikkerheten og er en del av regjeringens helhetlige satsing på informasjonssikkerhet. Blant målgruppene til NorSIS er kommuner og fylkeskommuner, i dette arbeidet samarbeider NorSIS med andre aktører som Datatilsynet, Kommunal informasjonssikkerhetsforening (KiNS) og KS, som også har bidratt i undersøkelsen.

I 2008 gjennomførte man den første nordiske kartlegging av informasjonssikkerhet, etter initiering av ENISA – EU sitt informasjonssikkerhetsorgan. Kartlegging av denne typen informasjon er for NorSIS svært verdifull, det er en mulighet til å gi myndighetene en status angående informasjonssikkerhetsarbeidet, samt gi mer konkrete råd til kommuner og fylkeskommuner. Dette er også en fin kanal for utveksling av erfaringer mellom landene.

Det er mange likehetstrekk i informasjonssikkerhetsarbeidet, uavhengig av organisasjon og land. Derfor er et nordisk samarbeid verdifullt for å utvikle seg best mulig. Det er nyttig å diskutere de enkelte lands tilnærming for å kunne komme opp med en slags «best practice».

Peggy Sandbekken Heie er seniorrådgiver i NorSIS og utdannet siviløkonom med spesialisering innen informasjonsledelse. Hun er også CISA og CRISC sertifisert fra ISACA. Peggy har siden 1998 jobbet med ulike oppgaver innen bedriftsutvikling, it-revisjon, revisjon og informasjonssikkerhet hos PricewaterhouseCoopers - Business Advisory Services og Samarbeidende Revisorer AS. Tidligere arbeidet hun i Totens Sparebank som kunderådgiver, og har også vært forskningsassistent ved Handelshøyskolen BI.

Det snakkes ofte om at det er dårlig stelt med informasjonssikkerheten i offentlig sektor, uten å ha dokumentert om det er korrekt eller ikke. Med tre undersøkelser på fire år har vi bedre grunnlag for å si hva statusen egentlig er. Trendene vi ser er at det jobbes med informasjonssikkerhet og man blir bedre, men mye er å innrette seg etter lover og regler, uten at man kontrollerer at dette etterleves i praksis eller er tilpasset lokale forhold.

Digitalisering av offentlige tjenester
Når det gjelder deler av digitaliseringsarbeidet ligger vi forholdvis godt an i forhold til Danmark og Sverige. Over 60 prosent av de som har svart i undersøkelsen har digitale skjema for innbyggerne, 90 prosent er godt i gang med arbeidet. Det er likevel ikke godt integrert i de fleste kommunene, under 30 prosent har implementert muligheten for å fylle ut skjemaet på nett.

Over 30 prosent har implementert innsikt inn i saksdokumenter, dette er betydelig bedre enn Sverige og Danmark som begge er på under 10 prosent. Når det gjelder bruk av sikker e-post, skiller Danmark seg veldig ut, 70 prosent har mulighet og benytter dette. I norske kommuner er det under 20 prosent som bruker sikker e-post. Det er viktig å merke seg at å sende informasjon via e-post, sikkerhetsmessig kan sammenlignes med å sende informasjon bak på et postkort.

Det er viktig å merke seg at å sende informasjon via e-post, sikkerhetsmessig kan sammenlignes med å sende informasjon bak på et postkort.

I digitaliseringsarbeidet er det et relativt stort klasseskille; over 30 prosent har implementert innsikt i saksdokumenter, men nesten like mange har ikke startet på dette i det hele tatt. Denne konklusjonen kan vi trekke fra flere kategorier, de fleste kommunene har enten implementert noe komplett, eller er nære, eller så har de ikke startet. Grunnen til dette kan være manglende ressurser og/eller kompetanse.

Sikkerheten i og rundt de digitale tjenestene er på et lavt nivå, her skiller Norge og Danmark seg spesielt ut. I Norge har man lav fokus på dette, mens de danske kommunene sier dette har høy prioritet. Spesielt på beredskap og adgangskontroll henger Norge etter. Flere har også svart at de har outsourcet de digitale løsningene og har derfor ikke kunnskap om sikkerheten. Viktig å merke seg at man aldri kan utkontraktere ansvaret for sikre løsninger.

Å la hver enkelt kommune utvikle egne systemer og praksis for informasjonssikkerhet er lite hensiktsmessig. Mange benytter samme løsninger og har de samme utfordringene. For å unngå et digitalt klasseskille blant kommunene er det nødvendig at kommunene samarbeider mer målrettet og strukturert fremover.

Beredskap
Kommunene blir bedre på hendelseshåndtering, men mangler tiltak for kontinuerlig drift.

Kommunene blir bedre på hendelseshåndtering, men mangler tiltak for kontinuerlig drift.

Når det gjelder hendelseshåndtering er kommunene flinke og trenden er positiv sammenlignet med tidligere år. Hendelseshåndtering innebærer at mange kommuner har prosesser for å registrere og følge opp hendelser etter de har inntruffet.

Digitale tjenester på nett betyr økt tilgjengelighet for brukeren. Imidlertid krever dette at tjenestene er tilgjengelig når det er behov for dem. Nedetid er ikke forenlig med at digitale tjenester skal være et førstevalg. For å sikre tilgjengelighet trenger man kontinuitetsplaner. Undersøkelsen viser at kommunene ikke prioriterer dette. De aller fleste har ikke implementert planer, eller de er ikke ferdigstilt. I Norge ligger man helt klart etter både Danmark og Sverige på dette punktet.

Manglede kompetanse
En trend vi ser gjennom undersøkelsen de siste årene er at gapet mellom de beste og de svakeste blir større. Det kan være flere grunner til at dette skjer, men mangel på kompetanse kan være en forklaring. De fleste outsourcer IT, dermed outsourcer de også ressurser med kompetanse. Hvis organisasjonen ikke har fagkompetanse internt i organisasjonen vil de ikke kunne følge opp informasjonssikkerheten på en tilfredsstillende måte.

Informasjonssikkerhet er et bevegelig mål som hele tiden endres, både i forhold til trusselbildet, ny teknologi og brukermønstre. Digitalisering vil derfor kreve langsiktighet og kontinuitet. Kommunene må kunne tilpasse seg de nye utfordringene.

Risiko- og sårbarhetsanalyser blir gjennomført i stor grad, men resultatene tyder på at de mangler forståelse og kompetanse til å evaluere risikoen. Hvis man ikke har kunnskap på området man skal evaluere, vil man ofte feilvurdere risikoen. En risikovurdering som ikke stemmer med virkeligheten vil føre til en falsk trygghet, og det vil føre til at man setter inn feil sikringstiltak.

I år, som tidligere år, er det lite fokus på opplæring. Når det gjelder informasjonssikkerhet, så har alle et ansvar, uavhengig om det er offentlig eller privat virksomhet. Mange av angrepene i dag er basert på sosial manipulering, for å stoppe disse angrepene krever det et bevisst forhold til informasjonssikkerhet.

Brukerne kan være det beste overvåkingsverktøyet man har, men da er man avhengig av brukere som forstår hva som er en hendelse, hva som må rapporteres inn og hvordan det skal rapporteres. Alle ansatte har et ansvar for informasjonssikkerheten. For å være rustet mot dagens og morgendagens utfordringer må de ansatte være kompetente i informasjonssikkerhet. Dette krever kontinuerlig opplæring.

Ansatte må derfor kreve opplæring. Ledere må ha forståelse for at dagens trusselbilde krever kompetente ansatte og selv framstå som et godt eksempel.

Oppfordring til ledere
Ledere i norske kommuner og fylkeskommuner må ha en minimumsforståelse for informasjonssikkerhet.

Ledere i norske kommuner og fylkeskommuner må ha en minimumsforståelse for informasjonssikkerhet.

Ledelsen må ha forståelse for at dagens oppgaver krever kompetente ansatte, og må selv også ha et bevisst forhold til informasjonssikkerhet. Det er klare signaler fra undersøkelsen om at de som har en engasjert leder med forståelse for informasjonssikkerhet, også gjør mer på området, enn der lederne «delegerer bort» alt ansvar. Det er viktig at lederne forstår at ansvaret aldri kan delegeres, kun oppgavene som må gjøres. Fordeling av ressurser og opplæring gjenspeiles derfor ofte i ledelsens engasjement.

Informasjonssikkerhetsarbeid kan ikke gjøres som et engangstiltak, men må og bør være en kontinuerlig aktivitet. Viktig å merke seg at det å forholde seg til lover og regler, såkalt compliance, ikke nødvendigvis betyr det samme som tilstrekkelig sikkerhet. Sikkerheten må være en integrert del i hele virksomheten. Risikovurderinger er viktig for å kunne vite hvor og hvilke tiltak man skal iverksette, og her er det mange som må forbedre seg. Mange virksomheter er gode på tekniske tiltak, men har langt igjen på kompetanse og opplæring. Man kan lovregulere handlinger, men holdninger er det vanskelig å regulere. Det er ledelsens ansvar å være et godt forbilde for sine ansatte.


Kommunerevisoren nr. 5/2013 - 68. årg.

Til toppen av siden

Topp