REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Retsudvalget 2013-14
REU Alm.del Bilag 353
Offentligt

Anbefalinger til styrkelse af

sikkerheden i statens

outsourcede it-drift

August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

August 2014

Denne publikation er udarbejdet af

Digitaliseringsstyrelsen

Landgreven 4

Postboks 2193

1017 København K

Telefon 33 92 80 00

[email protected]

Center for Cybersikkerhed

Kastellet 30

2100 København Ø

Telefon: +45 3332 5580

E-mail:

[email protected]

Elektronisk publikation:

ISBN: 978-87-93073-07-4

Publikationen kan hentes på:

Digitaliseringsstyrelsens hjemmeside

www.digst.dk

Center for Cybersikkerheds hjemmeside

www.cfcs.dk

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Forord

Indledning

Denne rapport er den tredje rapport om CSC-sagen. Rapporten indeholder fremadrettede

anbefalinger til statslige myndigheder vedrørende sikring af outsourcet it-drift.

I 2013 kom det frem, at it-leverandøren CSC var blevet

ramt af et omfattende hackerangreb, hvor en række

statslige myndigheders følsomme data potentielt var

blevet kompromitteret.

Denne rapport er den tredje rapport om CSC-sagen.

Rapporten oversendes til Folketinget og offentliggøres.

Rapporten indeholder de fremadrettede anbefalinger på

grundlag af konklusionerne på de undersøgelser i

forbindelse med CSC-sagen, som beskrives i de to øvrige

rapporter om sagen.

En stor del af den statslige it-drift er outsourcet til

eksterne leverandører. Outsourcing er en model, som har

givet staten en række fordele gennem årene, både i

forhold til økonomi, kvalitet og organisering. Den

omfattende brug af outsourcing stiller dog en række krav

til, hvordan den sikkerhedsmæssige styring af

leverandørerne sker på tilfredsstillende vis. I de seneste

år er der set flere konkrete eksempler på alvorlige

sikkerhedshændelser

hos

statens

eksterne

it-

leverandører, og undersøgelserne i forbindelse med

CSC-sagen har vist, at myndighederne skal være mere

opmærksomme på at stille passende sikkerhedsmæssige

krav til leverandørerne, og følge løbende op på, at

leverandørerne efterlever kravene.

Denne rapport indeholder en række anbefalinger til

styrkelse af sikkerhed i statens outsourcede it-drift med

det formål at understøtte en styrkelse af såvel

sikkerheden i de outsourcede statslige løsninger som

myndighedernes kontrol hermed. Rapporten og dens

anbefalinger skal danne baggrund for, at statslige

myndigheder i højere grad kan agere kompetent, rettidigt

– og i passende omfang koordineret – i forhold til it-

sikkerheden i nye og eksisterende outsourcede løsninger.

Forsvarets Efterretningstjenestes Center for Cyber-

sikkerhed og Digitaliseringsstyrelsen vurderer i dag, at

myndighederne – generelt set – kun i mindre grad tager

hensyn til det aktuelle trusselsbillede, dvs. hvilke trusler,

it-løsningerne kan blive udsat for.

I rapporten gennemgås på den baggrund det aktuelle

trusselsbillede som baggrund for de konkrete

anbefalinger

til

myndighederne

relevante

sikkerhedstiltag i forbindelse med løsninger, som drives

af eksterne leverandører samt om samarbejde med

Center for Cybersikkerhed.

Rapportens anbefalinger, som er rettet til den øverste

ledelse i statslige myndigheder, er fremhævet i

tekstbokse og mærket ”Anbefalinger til ledelsen”. En

samlet oversigt over anbefalingerne til ledelsen fremgår

af bilaget i kapitel 7.

Teksten indeholder i øvrigt anbefalinger, der er rettet mod

myndighedernes systemansvarlige og informations-

sikkerhedsmedarbejdere med henblik på at understøtte

det konkrete arbejde med at øge sikkerheden. Disse

anbefalinger kan dog samtidig tjene som en tjekliste for

den øverste ledelse i dennes dialog med organisationen

om it-sikkerhed. Myndighederne kan endvidere med

fordel videregive rapporten til deres eksterne

leverandører, hvorefter den kan tjene som udgangspunkt

for et tættere samarbejde om at sikre, at sikkerheden er

på et tilstrækkeligt niveau og i øvrigt svarer til det aftalte.

Det understreges, at sikkerheden i forbindelse med

outsourcet it-drift skal ses som en del af den samlede

indsats i forhold til cyber- og informationssikkerhed.

Rapporten indeholder derfor også mere generelle

betragtninger og anbefalinger til myndighedernes styring

af informationssikkerhed.

Anbefalingerne i rapporten ligger inden for rammerne af

sikkerhedsstandarden ISO27001, som tager udgangs-

punkt i ledelsesforankret risikovurdering, og som statens

institutioner er forpligtede til at efterleve.

Anbefalingerne er et bidrag til myndighedernes arbejde

med at etablere et passende sikkerhedsniveau og deres

efterlevelse af standarden i forbindelse med brugen af

eksterne leverandører.

I kapitel 2 og 3 opsummeres konklusioner efter CSC-

sagen, og der gives som baggrund for sikkerhedsarbejdet

en oversigt over trusselbilledet og risici ved sårbarheder –

samt muligheden for bistand fra Center for Cyber-

sikkerhed, som er national it-sikkerhedsmyndighed.

I kapitel 5 beskrives, hvorledes ISO27001-standarden

anvendes som rammeværk for sikkerhedsarbejdet.

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Indhold

1. Konklusioner efter CSC-sagen .............................................................................................................................. 6

1.1 Hovedanbefalinger til ledelsen ..................................................................................................................... 6

2. Trusler mod myndighedernes outsourcede it-drift ................................................................................................ 7

2.1 Generelle trusler ........................................................................................................................................... 7

2.2 Specifikke trusler ved brug af eksterne leverandører .................................................................................. 8

3. Eksisterende anbefalinger vedrørende outsourcet it-drift ..................................................................................... 9

4. Sikkerhedsstyring ved brug af eksterne leverandører ........................................................................................ 10

4.1 Sikkerhedsmæssige krav til leverandøren (i kontrakten) ........................................................................... 11

4.2 Sikkerhedstest og kontrol ........................................................................................................................... 13

4.3 Salg eller ophør af leverandørens virksomhed .......................................................................................... 13

5. Styring af informationssikkerhed efter ISO27001-standarden ............................................................................ 14

5.1 Efterlevelse af sikkerhedsstandarden ISO27000-serien............................................................................ 14

5.2 Risikovurdering........................................................................................................................................... 14

5.3 Behandling af personoplysninger ............................................................................................................... 15

5.5 Evaluering af sikkerheden .......................................................................................................................... 16

6. Koordinering og videndeling mellem statslige myndigheder ............................................................................... 17

7. Bilag – Oversigt over anbefalinger til ledelsen .................................................................................................... 18

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 1

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 1

1. Konklusioner efter CSC-sagen

Nyt kapitel

Nedenfor gennemgås de overordnede konklusioner efter CSC-sagen.

CSC-sagen viser først og fremmest, at der findes en reel

trussel om cyberangreb imod danske myndigheders

digitale systemer. Sagen viser også, at de angrebne

systemer på angrebstidspunktet var sårbare i en sådan

grad, at det lykkedes angriberne at kompromittere

fortroligheden af følsomme oplysninger, og at angriberne

havde etableret et fodfæste i systemerne, så de potentielt

kunne have forårsaget tab eller forvanskning af

uerstattelige data.

På baggrund af sagen må det konkluderes, at det er af

afgørende betydning for cyber- og informations-

sikkerheden, at en myndighed internt udvikler en moden it-

sikkerhedsorganisation, som kan forestå en tilstrækkelig

leverandørstyring for så vidt angår it-sikkerheden.

Herunder er det væsentligt, at der hos myndigheden er

kompetencer, som (bl.a. i dialog med leverandøren) kan

vurdere behov for tilkøb af sikkerhedsrelaterede ydelser

(såsom opdeling af netværk, vedligehold af forbindelse til

internettet, opdatering af systemer mv.).

Det er i den forbindelse af betydning, at myndigheden

løbende forebygger ”tilsanding” af systemer, dvs. at

myndigheden løbende opdaterer sin it-anvendelse og sine

leverandørkontrakter i lyset af det aktuelle trusselbillede.

Det er samtidig vigtigt, at tjenester og funktionalitet, som

ikke anvendes, løbende tages ud af drift, ligesom

etableringen af ny funktionalitet bør ledsages af konkrete

og dokumenterede risikovurderinger.

Erfaringerne fra CSC-sagen viser blandt andet, at et aktivt

og kontinuerligt samarbejde mellem leverandøren og

kunderne – i tråd med den gældende sikkerhedsstandard

ISO27001 – kan danne grundlag for en væsentlig

forbedring af sikkerheden i løsningerne. I den pågældende

sag har leverandøren således på den baggrund

gennemført en række tiltag for at øge sikkerheden i de

leverede ydelser. Der er redegjort nærmere herfor i

rapporten til regeringen om sikkerhedsbrud hos CSC.

1.1 Hovedanbefalinger til ledelsen

1. Ledelsen bør sikre, at myndighederne – med

udgangspunkt i de opnåede erfaringer fra CSC-sagen –

aktivt vurderer cyber- og informationssikkerheden,

specielt i de løsninger, som drives af eksterne lever-

andører, og går i dialog med leverandøren herom med

henblik på at sikre, at alle leverandører gennemfører

relevante tiltag for at opnå den ønskede sikkerhed i de

leverede ydelser.

2. Ledelsen bør sikre, at myndighedernes risikovurdering

og risikoledelse tager udgangspunkt i et opdateret

trusselbillede, jf. kapitel 2.1 og 5 nedenfor. Dette bør

sikres både ved nyudvikling, drift og videreudvikling af

it-løsninger.

3. Ledelsen bør indlede og løbende indgå i en aktiv dialog

internt i myndigheden om efterlevelse af de øvrige

anbefalinger i denne rapport.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 2

2. Trusler mod myndighedernes

outsourcede it-drift

Nyt kapitel

Danske virksomheder, privatpersoner og offentlige myndigheder blev i 2013 dagligt udsat for

forstyrrende eller skadelige aktiviteter via internettet. Der var i 2013 cyberangreb, som i en

kortere periode forstyrrede eller hindrede anvendelsen af dansk digital infrastruktur, og der er i

de seneste år konstateret cyberangreb mod væsentlige mål i Danmark, hvor

informationssikkerheden er blevet kompromitteret. Center for Cybersikkerheds seneste

trusselsvurdering viser, at denne tendens meget sandsynligt vil fortsætte.

2.1 Generelle trusler

Forsvarets Efterretningstjenestes ”Efterretningsmæssig

risikovurdering 2013” beskriver truslen imod danske

myndigheder og virksomheder:

Det fremgår af risikovurderingen, at de alvorligste cyber-

trusler mod Danmark kommer fra statslige aktører, der

udnytter internettet til at spionere og stjæle dansk

intellektuel ejendom og forretningshemmeligheder såsom

forretningsplaner, forskningsresultater, teknisk knowhow,

budgetter og aftaler. Denne trussel kommer i særdeleshed

fra stater, der bruger informationerne til at understøtte

deres egen økonomiske, militære og samfundsmæssige

udvikling. Flere stater har midlerne til at gennemføre

særdeles omfattende spionage mod danske myndigheder

og virksomheder.

Sårbarheder i systemer kan ved et angreb medføre, at

driften af danske myndigheders digitale tjenester

påvirkes på flere måder:

•

Sårbarheder kan ved angreb medføre nedbrud, således

at tjenester helt eller delvist ophører med at virke i et

kortere eller længere tidsrum. Der er f.eks. set

eksempler på såkaldte ’Denial of Service’-angreb mod

offentlige løsninger gennem de seneste år.

Sårbarheder kan medføre, at offentlige data ved et

angreb blotlægges og kan tilgås af uvedkommende.

Der har været en række tilfælde, hvor personfølsomme

data, f.eks. sundhedsoplysninger, er blevet blotlagt.

Angrebet mod CSC, hvor der skete en kompromittering

af visse data fra politiet, er et eksempel herpå.

Sårbarheder kan medføre, at offentlige data ændres

eller slettes af uvedkommende. Der kendes dog ikke til

eksempler på, at dette har fundet sted i Danmark, men

Center for Cybersikkerhed har set eksempler på, at

sårbarheder

har

muliggjort

så

omfattende

kompromitteringer af systemer, at angriberne havde

reel mulighed for at ændre eller slette data.

Data kan være vanskelige at erstatte i tilfælde, hvor det er

meget svært eller umuligt at genskabe data elektronisk

efter tab. Det gælder særligt store databaser med mange

transaktioner, hvor det i dag ofte vil være umuligt at ’rulle

tilbage’, såfremt det konstateres, at data på et tidligere

tidspunkt er ændret i betydelig grad. Hyppig sikkerheds-

kopiering af databasen, separat logning af transaktioner og

løbende test af databasens integritet øger chancen for, at

databasen kan rekonstrueres.

ANBEFALING TIL LEDELSEN

Ledelsen bør sikre, at myndighedens risikovurderinger og

risikoledelse, jf. kapitel 5, tager udgangspunkt i et

opdateret trusselbillede. Ledelsen bør endvidere sikre, at

organisationen vurderer risici ud fra karakteren og værdien

af data og systemer, som myndigheden er ansvarlig for,

herunder hvor kritiske de er for myndigheden.

Center for Cybersikkerhed er national it-sikkerheds-

myndighed og udarbejder som led heri trusselvurderinger.

Centeret kan bistå myndigheder med at udforme

sektorspecifikke og – i relevante tilfælde – myndigheds-

specifikke trusselvurderinger. Center for Cybersikkerhed

leverer en række øvrige sikkerhedsydelser til statslige

myndigheder, herunder mulighed for tilslutning til centerets

netsikkerhedstjeneste, der har til opgave at opdage,

analysere og bidrage til at imødegå cyberangreb.

ANBEFALING TIL LEDELSEN

•

Ledelsen bør tage initiativ til, at myndigheden indleder en

dialog

med

Center

for

Cybersikkerhed

brug

vedrørende

centerets

it-

mulighederne

gøre

sikkerhedsydelser.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 2

Trusler mod myndighedernes outsourcede it-drift

2.2 Specifikke trusler ved brug af

eksterne leverandører

Alt efter, hvilken driftsform en myndighed måtte vælge at

anvende til sine systemer og datalagring, optræder der

forskellige typer risici.

Outsourcet drift er forbundet med en række særlige risici.

Disse er ikke nødvendigvis mere problematiske end de

risici, der eksisterer ved intern drift, men myndighederne

skal være opmærksomme herpå for at kunne leve op til

deres ansvar for it-sikkerheden. Som led heri skal

myndighederne stille relevante krav til leverandørernes

styring af informationssikkerheden, herunder styring af

underleverandører.

åbning udgør

cyberangreb.

øget

angrebsflade

for

Ovenstående trusler bør ses i lyset af, at en leverandør

uanset ejerforhold eller strategi skal leve op til de

forpligtelser, denne juridisk er bundet af via kontrakten. På

trods af dette er det vigtigt, at myndigheden løbende

vurderer, om truslerne er eller bør føre til, at leverandør-

styringen eller kontrakten skærpes.

•

Trusler i forbindelse med ejerskab, strategi og

investering

Ved ejerskifte vil en ny ejer som udgangspunkt

være forpligtet til at videreføre gældende

kontrakter. Det er imidlertid en trussel mod

myndigheden, såfremt en leverandør, f.eks. ved

ejerskifte eller andet strategisk skift i fokus, ikke

lægger vægt på investeringer og tiltag, som

imødekommer

myndighedens

behov

for

sikkerhed, robust drift, support, udvikling mv.

Dette gælder også ved skift af leverandørens

underleverandører.

•

Trusler i forbindelse

lovgivning

med

andre

landes

Det er en trussel mod myndigheden, såfremt en

leverandørs (eller dennes underleverandørs)

infrastruktur ejes eller i øvrigt kontrolleres af

virksomheder, som falder under jurisdiktion eller

anden indflydelse fra lande, som den danske stat

ikke har (fuld) tillid til. Det kan være, at krav i

dansk lovgivning ikke finder anvendelse eller ikke

kan håndhæves i praksis. Herunder er det muligt,

at databehandling og revision ikke sker i henhold

til danske regler, eller parter, som ikke nyder

dansk tillid (både virksomheder og stater), får

indsigt i systemer eller transaktioner på en måde,

som potentielt kompromitterer driftssikkerhed

eller fortrolighed. Det bemærkes, at det i en

række lande er i overensstemmelse med den

nationale lovgivning, at den pågældende stat eller

andre parter kan tilgå data, som tilhører en

infrastrukturleverandørs kunder.

•

Trusler i forbindelse med integrationen af en

leverance i myndighedens øvrige it-miljø

integrationen

leverancen

myndighedens øvrige it-miljø kan rumme

sårbarheder i og med, at myndighedens it-miljø

skal åbnes i relevant omfang imod leverandørens

systemer, f.eks. ved åbning for særlig

netværkstrafik og aktivering af bestemte tjenester

i myndighedens udadvendte it-miljø. Denne

elve

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 3

3. Eksisterende anbefalinger vedrørende

outsourcet it-drift

Nyt kapitel

Nedenfor gennemgås internationale og nationale anbefalinger og vejledninger vedrørende

outsourcet it-drift.

Der er få udenlandske eksempler på strategier på

informationssikkerhedsområdet, som berører emnet out-

sourcet drift. Storbritannien har udarbejdet og opdaterer

løbende en ramme for informationssikkerhed

. De krav,

som indgår heri, omhandler myndighedernes informations-

sikkerhed i bred forstand. De steder, hvor det er relevant,

betoner strategien myndighedernes ansvar for at sikre, at

myndighedernes styring af leverandører er tilstrækkelig til,

at myndighedernes samlede it-drift, inklusive den

outsourcede drift, lever op til målsætningerne for sikker it-

drift.

Det Europæiske Net- og Informationssikkerhedsagentur,

ENISA, har udgivet en sikkerhedsstrategi for outsourcet

drift specifikt på cloud-området

, som imidlertid indeholder

en række elementer, der også er relevante for andre former

for outsourcet it-drift.

Der fokuseres således på håndtering af risici i

forbindelse med f.eks.:

•

Tekniske forhold, så som manglende sikkerhed og

robusthed overfor angreb, datahåndteringen, tab af

kontrol med krypteringsnøgler og manglende

dokumentation eller styring af medarbejderes

adgangsrettigheder mv.

Juridiske og andre forhold hos leverandøren, så som

risikoen for at blive afhængig af leverandøren (lock-in),

leverancestop ved konkurs, opkøb af leverandøren,

andre landes lovgivning mv.

organisation, risikovurdering, sikring af revision, exit-

strategi mv.), den løbende styring af leverancen i hele

aftalens

løbetid

(kontrol

sikkerhedsniveauet,

hændelseshåndtering, beredskab mv.) og eksekvering af

en forud fastlagt og sikker exit-strategi i tilfælde af

kontraktophør.

Endvidere har Digitaliseringsstyrelsen udgivet en

vejledning om ”Cloud computing og de juridiske rammer”

Vejledningen

beskriver,

hvilke

lovkrav

offentlige

myndigheder skal iagttage, når de benytter cloud- og/eller

outsourcing-leverandører. Vejledningen beskriver også

konkrete forhold, som myndighederne bør overveje ved

kontraktindgåelse med en cloud- og/eller outsourcing-

leverandør.

Anbefalinger og opmærksomhedspunkter i de ovennævnte

rapporter finder generelt anvendelse, også for statens

outsourcede it-drift, hvilket er afspejlet i denne rapports

øvrige afsnit.

•

I Danmark har Dansk It udgivet en vejledning om sikkerhed

ved it-outsourcing

. Vejledningen giver detaljerede

anbefalinger til en organisations interne forberedelse af

outsourcing (krav til modenheden i myndighedens

HMG Security Policy Framework (2014),

findes på

www.gov.uk

Cloud Computing – Benefits, risks and recommendations for

information security

(2009), findes på

enisa.europa.eu

Sikkerhed ved it-outsourcing – quickguide

(2012), findes på

dit.dk.

Cloud computing og de juridiske rammer

(2011) findes på

digst.dk

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 4

4. Sikkerhedsstyring ved brug af eksterne

leverandører

Nyt kapitel

Der er mange fordele forbundet ved at få en ekstern leverandør til at drive hele eller dele af

løsninger for offentlige myndigheder. Men outsourcing kræver, at den offentlige myndighed har

kompetencerne til at styre processen.

I udgangspunktet er leverandørstyring et element i den

generelle sikkerhedsstyring, der for statens institutioner er

reguleret af den internationale sikkerhedsstandard

ISO27001. I kapitel 5 fremgår mere generelle beskrivelser

og anbefalinger til efterlevelse af ISO27001, men

erfaringen fra CSC-sagen viser, at det er nødvendigt med

særlig fokus på netop leverandørstyring og de nødvendige

kompetencer til varetagelse af hele outsourcing-opgaven,

som herunder beskrives mere detaljeret.

Myndigheden skal have kompetencerne til:

•

At gennemføre en fyldestgørende risikovurdering inden

kontraktindgåelse.

At indgå en kontrakt, der sikrer, at leverandøren træffer

de fornødne tekniske og organisatoriske sikkerheds-

foranstaltninger, og med mulighed for at justere aftalen i

takt med at risikobilledet ændrer sig.

At foretage en løbende styring af, om leverandøren

lever op til kontrakten og styrer sikkerheden forsvarligt.

ansvarlig for, at leverandøren leverer et tilfredsstillende

sikkerhedsniveau.

ANBEFALING TIL LEDELSEN

Ledelsen bør sikre, at der er en tydelig ansvarsfordeling

mellem kunde og leverandør om, hvem der er ansvarlig for

specifikke sikkerhedstiltag, herunder leverandørens ansvar

for

underleverandører.

Der

skal

sikres

klar

ansvarsfordeling mellem kunde og leverandør i forhold til

sikkerhedsaktiviteter.

Derudover belyser erfaringerne fra CSC-sagen behovet

for, at myndighederne:

•

Indgår i en aktiv dialog med leverandøren om

sikkerhedsløsninger og sikrer, at myndigheden i

kontrakten har mulighed for løbende at fastholde et

passende sikkerhedsniveau.

Koordinerer og samordner deres krav til it-sikkerhed og

deler viden om hændelser, såfremt flere myndigheder

deler leverandører.

Arbejder aktivt med kontrakterne om it-leverancer og

ejerskab og løbende opdaterer krav.

Løbende har godt overblik over de indkøbte

leverancer, herunder fjerner services, som ikke

(længere) er nødvendige.

Løbende vurderer sikkerheden i løsningen og sikrer, at

den er tidssvarende, især fordi mange ældre systemer

er udviklet med en sikkerhedsmodel, som ikke

inkluderede at systemerne kunne tilgås udefra.

Sammenkoblingen med internettjenester udgør en

særlig sikkerhedsmæssig udfordring for disse

systemer.

Løbende følger op på kontrakter med henblik på at

sikre, at it-sikkerhedsarkitekturen stadig opdateres

efter behov og afspejler det nuværende trusselbillede,

herunder sikrer sig, at der i leverandørens systemer er

den relevante logiske adskillelse mellem sikkerhedslag

•

Det er vigtigt, at der i forbindelse med udfærdigelse af

outsourcing-kontrakter

indgår

krav

om,

hvordan

sikkerhedshændelser håndteres. Det skal være aftalt

mellem myndigheden og leverandøren, hvilken part der har

ansvaret for de enkelte aspekter af håndteringen af en

sikkerhedshændelse, herunder kriterier for, hvornår

hændelser rapporteres til kunden, og for eskalering af tiltag

til håndtering af hændelser.

Aftaler om håndtering af hændelser skal revideres med

jævne mellemrum i takt med den generelle udvikling i

risikobilledet.

Myndigheden bør sikre sig, at leverandører i relevant

omfang er underlagt uafhængig ekstern it-sikkerheds-

revision, og at revisionsrapporter løbende gøres

tilgængelige for myndigheden.

Det er endvidere væsentligt at understrege, at det altid er

myndigheden, der er ansvarlig for sikkerhedsniveauet.

Selvom myndighederne outsourcer driften, er myndigheden

•

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 4

Sikkerhedsstyring ved brug af eksterne leverandører

og systemkomponenter, og at der er etableret teknisk

sikring mellem disse.

•

Lader sikkerhed indgå i it-projekter med passende

vægt.

Undersøger muligheden for at anvende eksempelvis

pseudonymisering

af personoplysninger eller andre

tekniske foranstaltninger til at mindske risici.

ANBEFALING TIL LEDELSEN

Ledelsen bør sikre, at der stilles relevante krav til

sikkerhedsforanstaltninger hos eksterne leverandører.

Myndighederne skal sikre, at leverandører:

•

Har passende processer for bruger-/rettighedsstyring

og fører den nødvendige løbende kontrol.

Begrænser medarbejderes adgang til data og systemer

til, hvad der er behov for, og i øvrigt vurderer behovet

for sikkerhedsgodkendelse af medarbejdere.

Har passende logisk og fysisk opdeling af systemer, og

regler for hvilke typer datatrafik som tillades mellem

delene.

Har effektive sikkerhedsprocesser, som sikrer, at

kunden har overblik og løbende kan vurdere

sikkerhedsniveauet.

Løbende gennemfører

sikkerhedsniveau.

test

det

etablerede

•

Derudover belyser erfaringerne fra SE og HØR-sagen

behovet for, at myndighederne:

•

Stiller krav til adgangskontroller og sikkerheds-

godkendelser, herunder til, at leverandøren vurderer

behovet for betroede personers adgang til systemer og

data samt sikrer, at adgangen ikke er videre, end

behovet tilsiger.

•

Overordnet bør myndigheden nøje gennemgå kapitel 15 i

sikkerhedsstandarden ISO27002 om leverandørforhold

med henblik på at dokumentere og indarbejde alle

relevante kontroller i aftalerne med leverandøren.

•

4.1 Sikkerhedsmæssige krav til

leverandøren (i kontrakten)

Angrebet mod CSC viste, at der er en række konkrete

trusler mod myndighedernes outsourcede drift på

mainframe-området. Sagen viste en række generelle

forhold ved outsourcet drift, hvor myndighederne skal være

opmærksomme på at sikre sig, at leverandørens systemer

på passende vis er sikret imod trusler. Dette gælder især

sikring af, at en angriber, som udnytter en sårbarhed til at

kompromittere sikkerheden i én del af systemet, ikke har

mulighed for ad den vej at skaffe sig adgang til andre dele

af systemet.

I den forbindelse er det særligt af betydning,

internetvendte services er tilstrækkeligt isoleret fra

bagvedliggende system til at forhindre, at en angriber

internettet kan komme til at udnytte sårbarheder i

bagvedliggende systemer.

det

via

Ved indgåelse af nye kontrakter bør myndigheder, på

baggrund af en vurdering af blandt andet sikkerhedskrav

og økonomi, stille relevante krav til løbende udvikling og

modernisering af systemerne med henblik på at forebygge

at der med tiden drives systemer på legacy-platforme, som

kun vanskeligt og med store omkostninger kan vedlige-

holdes sikkerhedsmæssigt.

Nedenfor er yderligere eksempler på forhold, som

myndigheder bør overveje ved indgåelse af kontrakter

med eksterne leverandører (listen er ikke

udtømmende):

•

Regulerer aftalen, hvorledes det håndteres, hvis

leverandøren

udsættes

for

pludselige

udefrakommende uforudsete omstændigheder, der

fører til tab af data?

•

Stiller

kontrakten

krav

til

leverandørens

sikkerhedsmæssige styring og forankring i ledelsen,

f.eks. gennem ISO27001-certificering?

Indeholder kontrakten bestemmelser om, hvorledes

leverandøren skal sikre kundens data i forhold til

tilgængelighed, fortrolighed og integritet?

Indeholder kontrakten bestemmelser om, hvorledes

kunden er sikret adgang til de data, der lagres hos

leverandøren?

Indeholder kontrakten bestemmelser om, hvorledes

kundens adgang til egne data sikres - både under

normal drift, men også i forhold til driftsstop,

misligholdelse, opsigelse, konkurs mv?

Indeholder kontrakten bestemmelser om leverandørens

forpligtigelse til at dokumentere og rapportere på

•

Pseudonomisering afkobler følsomme data fra

personhenførbare data. I stedet tildeles de følsomme data en

nøgle, som følger dem igennem databehandlingen. De

personhenførbare data opbevares sammen med nøglen i en

separat sikret database; eventuelt kontrolleres nøglen af

personen selv. I tilfælde, hvor databehandlingen fordrer

kendskab til den konkrete person (f.eks. til fremsendelse af en

afgørelse), kan personhenførbare data sættes på sagen ved

brug af nøglen - alternativt kan sagens data tilgås af rette

vedkommende med brug af nøglen.

•

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 4

Sikkerhedsstyring ved brug af eksterne leverandører

væsentlige sikkerhedsbrud

opfølgning på disse?

•

krav

relevant

Præciserer kontrakten, hvorledes leverandøren skal

agere i tilfælde af uvedkommendes adgang til data

(eksempelvis i form af en pligt til straks at orientere

kunden)?

Er der i kontrakten indsat bestemmelse om, at kunden

straks skal orienteres, såfremt myndigheder, herunder

regeringer og domstole, ønsker adgang til data hos

leverandøren?

Er det i kontrakten anført, at kunden (oftest via en

uafhængig revisor) skal have adgang til eksempelvis en

gang årligt at foretage en passende inspektion "on site"

i forhold til leverandørens håndtering af data? Eller

alternativt at leverandøren via en uafhængig revisor

redegør for, hvorledes leverandørens infrastruktur,

herunder sikkerhedsspecifikationer, håndteres?

Stiller kontrakten krav til løbende opdatering af

systemer og til passende logning af datatrafik?

Skal der gennemføres øvelser og etableres beredskab?

•

Ovenstående overvejelser om sikkerhedsmæssige forhold i

kontrakten giver anledning til at overveje, om myndigheden

skal kræve specifikke sikkerhedskrav indarbejdet i ’Service

Level Agreements’ (SLA-aftaler).

Det er nødvendigt for kunden at afklare alle krav i

kontrakten vedr. sikkerhedsleverancer, således at der er

klarhed over, hvilke leverancer leverandøren forventes at

levere til kunden. Dette kan eksempelvis angå (SLA-)krav

til håndtering og rapportering på sikkerhedshændelser,

hyppighed for sikkerhedstest, afprøvning og rapportering,

hyppighed for beredskabstest, afprøvning og rapportering.

Kunden/myndigheden kan med fordel ligeledes formidle

egne krav til egen organisation vedr. sikkerhedsleverancer

ift. den outsourcede driftskontrakt.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 4

Sikkerhedsstyring ved brug af eksterne leverandører

4.2 Sikkerhedstest og kontrol

Sikkerhedstest kan anvendes til at kontrollere sikkerheds-

niveauet i en outsourcet infrastruktur. Eksterne sikkerheds-

test tester kvaliteten af det

”sikkerhedsskjold”,

leverandøren har til at imødegå eksterne angreb, f.eks. fra

internettet. Interne sikkerhedstest anvendes til at vurdere,

hvor god leverandørens baseline for opsætning af

sikkerhedsparametre er generelt. Sikkerhedstest af de

aftalte ydelser i den outsourcede drift anvendes til at

vurdere, om leverandøren lever op til de krav, som er aftalt

i kontrakten, eller som må anses at være best practice /

good practice på området.

Disse typer af sikkerhedstest giver en idé om, hvor der er

risiko ved, at de nuværende kontroller kan omgås, og

dermed hvilke kompenserende kontroller, der bør opstilles.

Såfremt sikkerhedstest ønskes anvendt til enten at

afdække svagheder i applikationer eller infrastruktur, er det

essentielt, at de overordnede spilleregler for dette aftales i

forbindelse med indgåelse af kontrakten - hvor, hvordan og

hvornår der skal gennemføres sikkerhedstest.

Tilsvarende bør myndigheden være meget omhyggelig

med at få aftalt og formuleret en ret til at foretage kontrol af

efterlevelsen af aftalte sikkerhedskrav samt økonomisk

ansvar i den forbindelse.

•

Overdragelse af sådanne data kan f.eks. ske ved, at

der gives en fuldstændig backup af kundens data, der

er placeret på leverandørens servere.

Myndigheden bør orienteres, såfremt leverandøren

bliver opkøbt eller underlagt andre selskabsretlige

konstruktioner end de på aftaleindgåelsestidspunktet

gældende, og den nye ejer bør være forpligtet til at

fortsætte aftalen.

ANBEFALING TIL LEDELSEN

Ledelsen skal inden kontraktindgåelse nøje vurdere

risikoen for og konsekvenserne af, at det fornødne

sikkerhedsniveau ikke videreføres ved et evt. salg eller

ophør af leverandørens virksomhed.

ANBEFALING TIL LEDELSEN

Ledelsen skal sikre, at kontrakten om outsourcet it-drift

indeholder konkrete bestemmelser, der tager højde for evt.

salg eller ophør af leverandørens virksomheder samt ved

skift af leverandørens teknologi/underleverandører etc.

4.3 Salg eller ophør af

leverandørens virksomhed

Myndighederne bør vurdere salg eller ophør af

leverandørens virksomhed ud fra risikobeskrivelser

såsom:

•

Risikoen for lock-in (til systemer eller dataformater).

Risikoen for mangelfuld sikkerhedsmæssig håndtering

af data i forbindelse med kontraktophør, konkurs eller

andet pludseligt ophør.

Risikoen for datalækage, overdragelse til kreditor,

mangelfuld sletning etc.

Risikoen for, at data håndteres under anden jurisdiktion

end forudsat i kontrakten, jf. kapitel 2.2..

Risikoen for manglende adgang til systemer/data,

herunder tab af krypteringsnøgle.

•

Yderligere eksempler på forhold, som kan indgå i

kontrakten vedrørende ophør og salg af leverandørens

virksomhed (listen er ikke udtømmende):

•

Myndigheden bør i kontrakten præcisere, hvorledes

kunden får adgang til egne data, f.eks. i tilfælde af

leverandørskift eller i tilfælde af, at kontrakten ophæves.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 5

5. Styring af informationssikkerhed efter

ISO27001-standarden

Nyt kapitel

Regeringen har truffet beslutning om, at statens institutioner skal følge sikkerhedsstandarden

ISO27001. Beslutningen er en følge af Finansministeriets plan for enkel administration i staten

(2010).

5.1 Efterlevelse af

sikkerhedsstandarden

ISO27000-serien

I ISO27001-standarden stilles krav til styringen af

sikkerhedsarbejdet – herunder en governancestruktur eller

et ledelsessystem for organiseringen af sikkerheds-

arbejdet. Dette sker gennem etablering af et Information

Security Management System (ISMS) i organisationen. Et

ISMS er et samlet udtryk for de politikker, procedurer,

beslutningsgange

aktiviteter,

som

udgør

komponenterne

organisationens

arbejde

med

informationssikkerhedsstyring. Et ISMS er en metode til at

styre sikkerhed, som gør det nemmere at efterleve

standarden.

Organisationens

efterlevelse

standarden

skal

dokumenteres i et såkaldt SoA-dokument (Statement of

Applicability). Dette er et af de mest centrale dokumenter i

sikkerhedsarbejdet efter ISO27001-standarden. Af dette

dokument fremgår ledelsens prioritering af sikkerheden,

herunder

beslutninger

valg

sikkerheds-

foranstaltninger i forhold til forretningens mål og risikoprofil.

Uden et godkendt SoA-dokument kender informations-

sikkerhedskoordinatoren

ikke

formelt

ledelsens

prioriteringer af sikkerheden.

Digitaliseringsstyrelsen har udarbejdet en guide til SoA-

dokumentet og et skema, som indeholder alle

sikkerhedsområderne i standarden. Når skemaet er udfyldt,

har man sin SoA-dokumentation, som viser ledelsens

prioriteringer for informationssikkerheden, der også

løbende kan bruges til at rapportere fremskridt for

etablering af de valgte sikkerhedsforanstaltninger. Guide

skema

kan

findes

downloades

fra

Digitaliseringsstyrelsens hjemmeside,

www.digst.dk

ANBEFALING TIL LEDELSEN

5.2 Risikovurdering

Myndighederne bør lade de generelle og specifikke

trusselvurderinger udarbejdet af Center for Cybersikkerhed

indgå i deres risikovurdering. Myndighedernes styring af

informationssikkerheden og af risici ved egne systemer og

procedurer skal tage udgangspunkt i opdaterede

trusselbilleder og viden om sårbarheder.

En myndighed skal i sin risikovurdering specifikt

besvare spørgsmålene:

•

Hvad er konsekvensen og omkostningerne, såfremt et

cyberangreb forårsager et nedbrud i et betydeligt

omfang af en tjeneste?

Hvad er konsekvensen og omkostningerne, såfremt et

cyberangreb forårsager en kompromittering af

fortroligheden af data (persondata eller andre typer

data)?

Hvad er konsekvensen og omkostningerne, såfremt et

cyberangreb forårsager tab eller forvanskning af data

(er der data, som i praksis er uerstattelige, og som

derfor kræver særlig beskyttelse)?

•

Myndigheden skal i sin risikovurdering vurdere truslerne i

forhold til karakteren og værdien af de data og systemer,

som myndigheden ejer, samt tage stilling til sikring heraf i

relation til de relevante trusler.

Myndigheden skal desuden med henvisning til ISO27001

sikre et robust og afprøvet beredskab (politikker,

procedurer og planer for ledelsesmæssige tiltag) ved

sikkerhedshændelser, som potentielt kan kompromittere

eller på anden vis påvirke vigtige tjenester eller

sikkerheden omkring data, som myndigheden er ansvarlig

for.

Myndigheden skal endvidere vurdere sit beredskab med

henblik på at sikre, at den har passende forudsætninger for

at opdage, kortlægge og imødegå angreb, herunder i størst

mulig grad opretholde sikkerheden af øvrige data og

systemer i tilfælde af en kompromittering.

Myndigheden

leverandører

bør

inddrage

arbejdet

eventuelle

med

outsourcing-

implementere

sikkerhedsstandarden ISO27001.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 5

Styring af informationssikkerhed efter ISO27001-standarden

ANBEFALING TIL LEDELSEN

Ledelsen

bør

sikre,

myndigheden

til

etablerer

Ledelsen skal sikre, at myndigheden på baggrund af

risikovurderingen udfærdiger relevante sikkerhedspolitikker

og implementerer og dokumenterer relevante procedurer.

Endvidere skal ledelsen sikre, at disse politikker og

procedurer er kendte og forståede i organisationen.

dokumenteret

kendskab

trusselbilledet.

Trusselsvurderinger af sektor- og myndighedsspecifikke

områder kan med fordel i relevante tilfælde udarbejdes i

samarbejde

med

Center

for

Cybersikkerhed

myndighederne.

Digitaliseringsstyrelsen har udarbejdet en vejledning for

risikovurdering i relation til fortrolighed, integritet og

tilgængelighed af data og systemer, og hvorledes dette

benyttes i sammenhæng med ISO27001-standarden.

Vejledningen

kan

findes

downloades

fra

Digitaliseringsstyrelsens hjemmeside,

www.digst.dk.

Myndigheden bør endvidere vurdere risikobilledet ved

outsourcing af it-drift sammenholdt med risikobilledet ved

egen drift/insourcing. Risikobilledet sammenholdes med de

forretningsmæssige mål og myndighedens risikovillighed

på områder, hvor der ikke er risiko for personfølsomme

eller nationale data.

Myndighederne skal herunder ved udbud eller indkøb af it-

leverancer vurdere it-sikkerhedsrisici ved den påtænkte it-

leverance og it-sikkerhedsrisici ved integrationen af

leverancen i myndighedens øvrige it-miljø og beslutte

passende sikringstiltag.

Det er afgørende for myndighedens it-sikkerhed, at den

løbende identificerer de sårbarheder, der måtte være ved

at vælge en outsourcet løsning, således at it-sikkerheds-

foranstaltningerne kan justeres eller nye indføres.

Ydermere bør den enkelte myndighed i forbindelse med

risikovurderingen løbende sikre et samlet overblik over sin

anvendelse af eksterne leverandører (i forhold til

outsourcet drift, software og hardware).

Center for Cybersikkerheds bidrag til koordinering og

videndeling i staten vedrørende sikkerhedshændelser i

forbindelse med outsourcet drift styrkes, såfremt der i

myndighederne i staten er et dokumenteret overblik over

egen anvendelse af it-leverandører (outsourcet drift,

software, hardware) og myndighederne deler oplysninger

herom med Center for Cybersikkerhed.

ANBEFALING TIL LEDELSEN

5.3 Behandling af

personoplysninger

Hvis der er tale om behandling af persondata, skal reglerne

i persondataloven og den tilhørende sikkerhedsvejledning

iagttages, inden behandlingen starter.

Efter persondataloven må personoplysninger kun

behandles, hvis den dataansvarlige har hjemmel

(lovgrundlag) til at behandle de pågældende persondata.

Overlader den dataansvarlige behandlingen til en

databehandler, er det et krav, at der indgås en

databehandleraftale mellem parterne, som blandt andet

entydigt sikrer, at databehandleren kun behandler data

efter den dataansvarliges instruks.

Datatilsynets krav til databehandleraftaler findes her:

http://www.datatilsynet.dk/offentlig/databehandler/

Når der behandles persondata, er det desuden nødvendigt

at overholde de overordnede sikkerhedskrav, som er

beskrevet i persondataloven. Offentlige myndigheder er

endvidere forpligtede til at iagttage de specifikke

sikkerhedskrav i sikkerhedsbekendtgørelsen.

Behandling af persondata skal i mange tilfælde anmeldes

til Datatilsynet, både når behandlingen sker for private og

for offentlige myndigheder. I visse tilfælde og særligt, når

der behandles særligt følsomme data, skal Datatilsynets

tilladelse også indhentes inden behandling igangsættes.

Digitaliseringsstyrelsen har udarbejdet en vejledning om de

juridiske rammer for brug af cloud computing.

Vejledningens anden del omhandler kontraktuelle forhold

der bør iagttages, ved indgåelse af kontrakt med en

sourcingleverandør. En række af kravene er relevante ud

fra en sikkerhedsmæssig betragtning. Vejledningen kan

findes her:

http://www.digst.dk/Arkitektur-og-standarder/Cloud-

computing/De-juridiske-rammer

Ledelsen skal sikre, at myndighedens risikovurdering

udarbejdes med udgangspunkt i sikkerhedsstandarden

ISO27001, således at der tages stilling til, om det påtænkte

sikkerhedsniveau matcher risikobilledet af de pågældende

systemer, der påtænkes outsourcet.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 5

Styring af informationssikkerhed efter ISO27001-standarden

http://www.digst.dk/Arkitektur-og-standarder/Cloud-

computing/De-juridiske-rammer

5.5 Evaluering af sikkerheden

Det er en god ide for myndigheden at evaluere sit

sikkerhedsniveau, så der skabes et overblik over den

aktuelle status på området. En sådan evaluering kan

samtidig bruges til overfor ledelsen at synliggøre behov for

ændringer i prioriteringerne i indsatsen.

Digitaliseringsstyrelsen har udviklet to

evalueringsværktøjer, der kan bruges i

organisationens arbejde med ISO27001:

"Værktøj

til selvevaluering"

- kan bruges til

selvevaluering af, hvor langt en organisation er nået

i implementeringsarbejdet. Formålet er at bidrage

med konkrete krav til at etablere, implementere,

vedligeholde og forbedre et informations-

sikkerhedssystem i organisationer. Værktøjet er

designet som en hjælp til at holde styr på de

forskellige krav fra standarden og organisationens

implementeringsgrad.

"ISO27001-benchmark" - kan bruges som et

benchmark i forhold til Anneks A i ISO27001.

Værktøjet gennemgår alle områder i Anneks A og

stiller spørgsmål til, hvordan organisationen

placerer sig på det aktuelle niveau i forhold til de

enkelte områder, og hvilket niveau organisationen

ønsker.

Når alle spørgsmål er udfyldt, kan der trækkes en rapport,

der viser områderesultater og det overordnede resultat.

Værktøjet lægger op til, at man skal vurdere sig på en

skala fra 0-5.

Begge værktøj kan findes og downloades fra

Digitaliseringsstyrelsens hjemmeside sammen med

yderligere materiale om informationssikkerhed og

ISO27001:

www.digst.dk

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 6

6. Koordinering og videndeling mellem

statslige myndigheder

Nyt kapitel

Koordinering og videndeling styrker sikkerheden.

Center for Cybersikkerhed har etableret en tværministeriel

kontaktgruppe, som skal have fokus på styrkelse af

cybersikkerheden for de centrale statslige myndigheder.

Kontaktgruppens formål er at videndele, udvikle og

koordinere de ministerielle indsatser på cybersikkerheds-

området. Målet er at styrke cybersikkerheden i Danmark

ved at fremme løbende koordination og informations-

udveksling mellem relevante offentlige myndigheder på

tværs af sektorerne.

Center for Cybersikkerhed arbejder endvidere med at

etablere flere offentlig-private arbejdsgrupper med sigte på

videndeling og udbredelse af kendskabet til trusler fra

internettet. Der arbejdes på at etablere et forum

vedrørende ICS/SCADA (industrielle kontrolsystemer) og et

forum vedrørende mainframe-systemer.

Digitaliseringsstyrelsen driver et forum for statens

myndigheder, Statens Informationssikkerhedsforum (SISF),

som samarbejder om it-sikkerhedsområdet på et praktisk

niveau.

SISF

fungerer

dag

primært

som

videndelingsforum, men forummet er sammensat, så det

fremover kan udgøre et velegnet forum til koordination af

den praktiske håndtering af konkrete sager, som måtte

blive identificeret i den tværministerielle kontaktgruppe.

Det styrker det offentliges position overfor it-leverandører,

såfremt myndighederne som kunder fremstår homogene og

konsistente over for leverandører. Det er i den forbindelse

af betydning, at myndigheder, som deler samme

infrastrukturkomponenter hos en leverandør, samordner

deres krav til leverandøren. Herunder er det f.eks. af

betydning, at de pågældende myndigheder alle er modne

indkøbere af sikkerhedsydelser, således at leverandøren

understøttes i at indføre en passende sikkerhed på hele sin

platform, og at der ikke er svage led i sikkerhedskæden,

ved at en myndighed har væsentligt ringere sikkerhed end

de andre myndigheder på samme platform.

Det er ligeledes af betydning, at myndighederne

samarbejder væsentligt mere aktivt om kontrakter vedr. it-

leverancer.

Endelig er det af betydning, at myndighederne sikrer, at

services og anden funktionalitet, som ikke anvendes,

deaktiveres med henblik på at forebygge unødige

sårbarheder.

Myndighederne bør sammen med leverandørerne

gennemgå og i relevant omfang justere kontrakter med

henblik på at sikre, at it-sikkerheden er tidssvarende og

afspejler det nuværende trusselbillede.

Der gælder en særlig udfordring for en række systemer i

staten, hvor it-arkitekturen, herunder sikkerheds-

arkitekturen, i en række tilfælde er mere end 15 år gammel,

og formodes kun i begrænset omfang at være udviklet med

en sikkerhedsmodel, som inkluderer, at systemerne nu kan

tilgås

udefra

ofte

sammenkoblet

med

internettjenester.

ANBEFALING TIL LEDELSEN

Ledelsen skal sikre, at myndigheden i tilstrækkelig grad

deltager i den statslige koordination og videndeling på

området, herunder er repræsenteret i relevante fora.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014

REU, Alm.del - 2013-14 - Bilag 353: Rapport fra august 2014 vedrørende hackerangrebet mod CSC, fra justitsministeren

Kapitel 7

7. Bilag – Oversigt over anbefalinger til

ledelsen

Nyt kapitel

Rapportens 11 anbefalinger til ledelsen er herunder samlet i en oversigt, der afspejler de direkte

og indirekte erfaringer, som er indhentet gennem analysen af CSC-sagen. Oversigten kan

anvendes som tjekliste for ledelsen i informationssikkerhedsdialogen med organisationen. Alle

anbefalinger er i tråd med den gældende sikkerhedssandard ISO27001.

Kapitel- og sideangivelse refererer til rapporten Anbefalinger til styring af sikkerheden i statens outsourcede it-drift, juni 2014.

Kapitel 2, side 7, trusler

Ledelsen bør sikre, at myndighedens risikovurderinger og risikoledelse, jf. kapitel 5, tager udgangspunkt i et

opdateret trusselbillede. Ledelsen bør endvidere sikre, at organisationen vurderer risici ud fra karakteren og

værdien af data og systemer, som myndigheden er ansvarlig for, herunder hvor kritiske de er for myndigheden.

Ledelsen bør tage initiativ til, at myndigheden indleder en dialog med Center for Cybersikkerhed vedrørende

mulighederne for at gøre brug af centerets it-sikkerhedsydelser.

Kapitel 4, side 10-13, sikkerhedsstyring – eksterne leverandører

Ledelsen bør sikre, at der er en tydelig ansvarsfordeling mellem kunde og leverandør om, hvem der er ansvarlig for

specifikke sikkerhedstiltag, herunder leverandørens ansvar for underleverandører. Der skal sikres en klar

ansvarsfordeling mellem kunde og leverandør i forhold til sikkerhedsaktiviteter.

Ledelsen bør sikre, at der stilles relevante krav til sikkerhedsforanstaltninger hos eksterne leverandører.

Ledelsen skal inden kontraktindgåelse nøje vurdere risikoen for og konsekvenserne af, at det fornødne

sikkerhedsniveau ikke videreføres ved et evt. salg eller ophør af leverandørens virksomhed.

Ledelsen skal sikre, at kontrakten om outsourcet it-drift indeholder konkrete bestemmelser, der tager højde for evt.

salg eller ophør af leverandørens virksomheder samt ved skift af leverandørens teknologi/underleverandører etc.

Kapitel 5, side 14-15, sikkerhedsstyring – organisationen

Myndigheden bør inddrage eventuelle outsourcing-leverandører i arbejdet med at implementere

sikkerhedsstandarden ISO27001.

Ledelsen bør sikre, at myndigheden etablerer et dokumenteret kendskab til trusselbilledet. Trusselsvurderinger af

sektor- og myndighedsspecifikke områder kan med fordel i relevante tilfælde udarbejdes i samarbejde med Center

for Cybersikkerhed og myndighederne.

Ledelsen skal sikre, at myndighedens risikovurdering udarbejdes med udgangspunkt i sikkerhedsstandarden

ISO27001, således at der tages stilling til, om det påtænkte sikkerhedsniveau matcher risikobilledet af de

pågældende systemer, der påtænkes outsourcet.

Ledelsen skal sikre, at myndigheden på baggrund af risikovurderingen udfærdiger relevante sikkerhedspolitikker

og implementerer og dokumenterer relevante procedurer. Endvidere skal ledelsen sikre, at disse politikker og

procedurer er kendte og forståede i organisationen.

Kapitel 6, side 17, koordinering og videndeling

Ledelsen skal sikre, at myndigheden i tilstrækkelig grad deltager i den statslige koordination og videndeling på

området, herunder er repræsenteret i relevante fora.

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift · August 2014