Få styr på datasikkerhed i kommunerne

På netmediet Version2 og netmediet ComputerWorld kan man læse, at Datatilsynet har kritiseret 16 danske kommuner efter, at Datatilsynet har gennemført kontroller af kommunernes praksis for håndtering af persondata. Det er under alle omstændigheder kritisabelt at offentlige myndigheder ikke har styr på datasikkerhed, og det er under alle omstændigheder et emne som kommunerne skal prioritere væsentligt højere end det gøres i dag.

Den enkelte kommune kan gøre en del for at få bedre styr på datasikkerhed og ikke alle aktiviteterne behøver at være komplicerede eller besværlige at få gennemført. I dette blogindlæg forudsættes at den enkelte kommune i forvejen har et vist kendskab og overblik over sine IT-systemer og kontrakter med IT-leverandører. Ligeledes forudsættes det at den enkelte kommune kan anskaffe sig medarbejdere med de fornødne forretningsmæssige- og tekniske kompetencer.

Trin 1 – Alloker ansvaret højt og centralt

Det er vigtigt at der allokeres ansvar centralt i kommunen. Ansvaret bør være helt på direktionsniveau og ansvaret bør skrives ind i den pågældende direktørs kontrakt, så det er muligt at sanktionerer direktøren. Det operationelle ansvar kan også delegeres til andre medlemmer af kommunens direktion med henblik på at manglende overholdelse og overblik over data vil kunne sanktionere den pågældende direktør betydeligt. Den enkelte kommune bør sidestille manglende overblik og effektiv IT- og datasikkerhed med et niveau som svarer sig til et manglende overblik og kontrol med kommunens budgetter og regnskaber.

Trin 2 – Etabler en kontrolmyndighed

Kommunens direktion skal have etableret en kontrolmyndighed der rapporterer direkte til direktionen, så mellemledere m.v. ikke har mulighed for at påvirke rapporterne om kommunens sikkerhedstilstand som skal forelægges direktionen minimum engang om måneden.

Trin 3 – Operationel sikkerhed adskilles fra kontrolmyndighed

I tilfælde af kommunen har et kontor (eller afdeling) med ansvar for digitalisering og IT, så skal kontrolmyndigheden ikke placeres i samme kontor som dem der udarbejder kravspecifikationer, kontrollere drift eller uddanner brugere i anvendelse af fagsystemer m.v.

Kontrolmyndigheden kan trække på kompetencerne i de førnævnte kontorer, men hvis kompetencerne ikke separeres så vil data antageligvis blive farvet for positivt.

Trin 4 – Stil krav om sikkerhed

Kommunens kontor (eller afdeling) for digitalisering (og IT) skal stille krav om at alle IT-løsninger der anskaffes overholder datapersistens, linje og diskkryptering samt at en central brugerdatabase anvendes. Ligeledes skal der i hver kontrakt skrives ind at kommunen kan kontrollere overholdelsen af IT-sikkerhed hos leverandøren i forhold til den eller de IT-løsninger der er driftet hos den pågældende leverandør.

Trin 5 – Kontinuerlig uddannelse

Kontrolmyndigheden skal sammen med kontoret for digitalisering sikre at alle nyansatte bliver trænet i IT-sikkerhed og datasikkerhed og grundelementerne i persondataloven. Ligeledes bør eksisterende ansatte blive introduceret til loven og gennemføre et tilsvarende kursus. Kommunen kan med de to programmer understøtte flere forskellige hastigheder for træning i IT- og datasikkerhed, hvortil uddannelsen af de eksisterende medarbejdere kan varetages af et eksternt konsulentbureau.

Trin 6 – Gennemfør leverandørkontrol

Kontrolmyndigheden skal påbegynde leverandørkontrol, hvortil den enkelte kommunens indkøbsafdeling (eller kontor for indkøb og kontraktstyring) skal bistå med at få holdt kontrakterne ajourført med databehandleraftaler. Kontoret for digitalisering kan eventuelt bistå med kompetencer om systemernes opbygning og historikken for hvert system.

Trin 7 – Risikovurderinger

Kontrolmyndigheden skal foretage risikovurderinger af data såvel som IT-systemer der påvirker den enkelte kommunens forretningsdrift. Risikovurderingerne skal foretages minimum engang i kvartalet. Risikovurderingerne bør forelægge direktionen og kommunalbestyrelsen til nærmere granskning og allokering af midler til begrænse at de relevante risici ikke realiseres.

Trin 8 – Procesafklaring

Kontrolmyndigheden og kontoret for digitalisering skal sammen udarbejde oplæg til processer der støtter op håndtering af kommunens data herunder persondata. Processerne skal jævnligt kommunikeres ud af henholdsvis kontrolmyndigheden og kontoret for digitalisering; hvor det er vigtigt   at processerne er tilgængelige for alle kommunens medarbejdere og at processerne er visuelt formidlede (diagrammer, billeder og videoer).

Chefkonsulenter og kontorchefer i de enkelte kontorer i kommunen skal kunne finde processerne og håndhæve disse, hvis de bliver opmærksomme på overtrædelser af persondataloven eller lemfældig omgang med kommunens data.

Trin 9 – Etabler whistle blower ordning

Kontrolmyndigheden skal etablere en whistle blower ordning, så kommunens ansatte eller borgere anonymt kan kontakte kontrolmyndigheden om tilfælde der omhandler persondata eller andre af kommunens data.

Konklusion

Den enkelte kommune sikre borgernes data i vidt omfang og samtidigt leve op til persondataloven. Det er vigtigt at den enkelte kommune forstår, at IT- og datasikkerhed ikke er noget der kan outsources, og det er ligeledes vigtigt at den enkelte kommune arbejder aktivt med at fremme sine kompetencer, kontroller og kravstilling samt anskaffelser i forhold til IT- og datasikkerhed.

De ni trin kan bruges af kommunerne som inspiration til at få bedre styr på deres håndtering af vigtige data herunder persondata.

Læren fra Middelfart

Tabloid pressen har identificeret en meget uheldig sag i Middelfart Kommune, hvor en IT-løsning og manglende kontrolprocesser har ført til at søgninger på populære søgemaskiner har givet alle med adgang til internettet adgang til personfølsomme data, hvilket også har ført til tab af prestige for Middelfart kommune (læs mere i kilde 1).

Der har med andre ord været en række uheldige udfald i sagen der tilsammen har ført til at kommunen nu står dårligere efter at have digitaliseret, og efterfølgende vil stå overfor en række udfordringer ved at få ryddet op i sit relativt omfangsrige systemlandskab. Selve casen læses på linket der findes i afsnittet “Kilder”.

Oprydningen og specificeringen af fremtidige IT-løsninger bør dog tage sit udgangspunkt i en sund IT-arkitektur og en tilsvarende sund forretningsarkitektur eller det der tilsammen kan kaldes for enterprise arkitektur. På trods af de uheldige udfald i sagen og den manglende IT-sikkerhed i løsningerne, så har Kommunernes Landsforening (KL) udarbejdet en række principper der netop har til formål at styre kommunernes samlet set komplekse IT-systemlandskaber bedre.

IT-arkitektur

Kommunernes Landsforening (KL) og leverandørselskabet  KOMBIT der er ejet af KL har formuleret en referencearkitektur og en række IT-arkitekturprincipper (læs mere i kilde med ID 2), som kommunerne bør følge med henblik på at specificere og sidenhen implementere gode IT-løsninger.

Principperne

Nedenstående principper er gældende for den fælleskommunale rammearkitektur:

  1. Der arbejdes imod en fælles rammearkitektur.
  2. Arkitekturen skal sikres mod leverandør lock-ins.
  3. IT-sikkerhed tænkes ind i løsningen fra starten.
  4. Forretningsservices på tværs af IT-løsninger.
  5. Opgavevaretagelsen er dokumenteret på tværs af forretningsdomæner.
  6. Brugere inddrages aktivt i behovsafklaring og udviklingsforløb.
  7. IT-løsninger udfordrer eksisterende regler og arbejdsgange.
  8. Der anvendes altid vedtagne begreber.
  9. Der er defineret entydigt ejerskab af forretningsservices.
  10. Forretningsservices meddeles omverdenen.
  11. Fælles autoritative reference- og grunddata anvendes.
  12. Forandringsrobust arkitektur.
  13. Data via åbne snitflader og kan genbruges.
  14. Alle data er uafhængige af systemet, hvor de opbevares.
  15. Data identificeres entydigt.
  16. IT-løsninger er skalerbare efter formål.
  17. IT-løsninger er robuste overfor egne og andre systemers nedbrud.

I dokumentet, der beskriver principperne, er relativt omfangsrigt, og principperne er forsøgt “SMART-evalueret”, men ikke alle principper giver lige god mening at anvende ud fra en IT-arkitekturmæssig sammenhæng. Det der er værd at mærke er bl.a. princippet om at sikkerhed skal tænkes ind i IT-løsningen fra starten, hvilket betyder at når en kommune går i udbud for at få indkøbt en IT-løsning så skal der i kravmaterialet findes krav om at IT-løsningen overholder helt basale sikkerhedsmodeller og teknologier.

Proces for involvering af IT-arkitektur

For at få involveret de rette kompetencer på de rigtige tidspunkter i idefasen, kravspecifikations- og designfasen samt implementeringsfasen så vil det give mening for de enkelte kommuner at få udarbejdet og forankret en proces for involvering af IT-arkitektur ressourcer på de rette tidspunkter.

For at få realiseret dette kunne direktionen i kommunen få fastlagt helt klare regler for, at alle IT-indkøb over 100.000 kr. skal forelægges en IT-styregruppe, som så kan beslutte at tilknytte en teknisk projektleder og ved mere komplekse investeringssager, så at tilknytte en IT-arkitekt.

Ydermere bør kommunerne få etableret en IT-anskaffelsesproces og en IT-udviklingsproces, hvor IT-anskaffelsesprocessen skal kunne “give input” til nye opgaver i IT-udviklingsprocessen.

Konklusion

Kommuner bør generelt arbejde mere struktureret med IT-arkitektur og digitalisering, og i forbindelse med indkøb af IT-løsninger så bør kommunerne arbejde ud fra de fælleskommunale arkitekturprincipper. Principperne involverer blandt andet at IT-sikkerhed tælnkes ind i IT-løsningerne fra starten af, hvilket også betyder at kommunerne skal stille krav om sikkerhed, og at der jævnligt skal følges op på IT-sikkerhed.

Kommunerne bør også arbejde med IT-sikkerhed som en del af deres målarkitektur, og i tilfældet med Middelfart Kommune, så kunne det involvere blandt andet bruger autentificering og autorisering til at se data samt at den slags IT-systemer bliver afskærmet.

Kilder

  1. http://ekstrabladet.dk/nyheder/friadgang/it-skandale-i-middelfart-handicappede-udstillet-paa-nettet/5803906
  2. http://www.kl.dk/ImageVaultFiles/id_61151/cf_202/F-lleskommunale_arkitekturprincipper_1.PDF

Kender du Bonnerup rapporten?

De seneste par dage er SKAT (Skatteministeriet) blevet kritiseret kraftigt for at op til flere store og ambitiøse IT-projekter ikke vil komme til at virke efter hensigten og tilmed vil medføre et tab for staten, da gæld ikke vil blive inddrevet fordi gælden forældes.

Desværre er de omtalte IT-projekter ikke de første IT-projekter der slår fejl for staten, og tilbage i 2001 fik Erik Bonnerup, Kim Norman Andersen med flere til opgave at få klarlagt, hvad der kendetegner de offentlige IT-projekter har en tendens til at gå galt. Resultatet er hvad der i folkemunde kaldes for ”Bonnerup rapporten” og heri fremgår det:

  1. Manglende frie hænder til at vælge en løsningsmodel for projekterne.
  2. For optimistiske bud på budgetterne og manglende realisme i beslutningsprocessen, herunder anvendelsen af eksterne konsulenter til at udarbejde business cases og projektplaner.
  3. Dårligt samarbejde mellem ministerier.
  4. Udbudsregler og kontraktformer er ikke egnet til store IT-projekter, herunder fortolkes udbudsreglerne i Danmark for restriktivt.
  5. Offentlighedsprincippet, hvilket gør at medierne har indsigt også i dårlige projekter. Dette kan besværliggøre samarbejdet med leverandører med flere.

Bonnerup rapporten kritiserer også organiseringen i den offentlige organisation, hvortil følgende bliver kritiseret:

  • IT-projekterne har ofte en dårlig forankring i topledelsen i de offentlige organisationer.
  • IT-projekterne har ikke fået præcis mål fra modtager organisationen. Dette har medført svag projektledelse.
  • IT-projektets modtager organisation har ofte ikke været udviklet (modnet) til at modtage leverancerne fra IT-projekterne.

Bonnerup rapporten kritiserer også samspillet mellem leverandører og den offentlige organisation, hvor fokus er på at der i organisationer der ofte oplever problemer med fejlende IT-projekter har følgende karakteristika:

  1. Konsulenterne har indsigt i IT-løsningen, men disse er ikke nødvendigvis teknisk stærke nok til at forstå systemernes tekniske modeller. Konsulenterne har haft deres styrker i proces og projektledelse.
  2. Leverandørerne har ofte en teknisk indsigt og forståelse, men kunden har i udgangspunktet ikke haft evnerne til at forstå den tekniske dialog med leverandøren.

Genkender du trækkene i din kommune?

Nok er Bonnerup rapporten udarbejdet med henblik på at understøtte IT-projekter der typisk blev udarbejdet i staten (det vil sige en mindre del af den danske offentlige sektor), men essentielt set kan ovenstående karakteristika overføres til både regionerne, men også kommunerne.

Der findes håb for at modne din kommunens tilgang til IT-projekter, men i de fleste organisationer kræver det arbejde med flere forskellige typer aktiviteter der sættes i gang:

  • Forankring af IT-projekterne i hos kommunens topledere (digitaliseringschef og kommunaldirektør).
  • Anvendelse af K03 kontrakter eller et kontraktparadigme der understøtter kontinuerlige leverancer og tests af leverancer i projektforløbet.
  • Bedre scoping af projekter og interne ressourcer der kan understøtte en bedre ”dialog” mellem modtager organisationen og leverandørerne.
  • Realistiske mål og tidsrammer for projekterne er fundamentale for at projekterne kan opnå succes.
  • Modtager organisationen skal modnes inden implementering, hvilket vil sige organisationen skal være klar til at tage imod og bruge leverancerne fra projektet.

Der har været en række interessante IT-projekter der med forskellig grad af succes er blevet sat i gang i Danmark og i forbindelse med de observationer der er gjort, så findes der en udvikling der tyder på at offentlige IT-projekter i højere grad skal involverer de rette interessenter i modtager-organisationen involveres for at forretningsprocesserne understøttes og IT-projekterne vil komme til at realisere den fornødne værdi. Dermed sagt så bør modtager-organisationen i langt højere grad arbejde med at finde de rette mennesker der skal deltage i arbejdet, så kravspecifikationer tager udgangspunkt i de reelle behov, og leverancerne bliver testet bedre.

Observationer fra de offentlige IT-projekter er også at modtager-organisationerne i højere grad skal arbejde med leverandørstyring, hvor leverandørerne bliver holdt op på leverancerne de har vundet retten til at levere, men også at få leverandørerne til at samarbejde om at få leverancerne integreret, så projekterne kan implementeres.

Konklusion

Danske kommuner kan lære meget af genlæse Bonnerup rapporten fra 2001, også set i forhold til porteføjle- og projektledelse. Kommunerne bør lære af anbefalingerne fra rapporten og i den forbindelse arbejde med kontraktmodeller der giver leverandørerne mulighed for at kunne udvikle leverancer der hurtigt kan afprøves og tilpasses samt at leverandørerne afregnes efter antallet af komplette leverancer.

Ydermere skal kommunerne opprioriterer det at have de interne kompetencer til rådighed til at udarbejde business cases, projektplaner og det at understøtte formidling med leverandørerne (forretning og teknik), hvilket betyder, at kommunerne i en hvis grad også skal rekruttere kompetencer inden for IT-projektledelse og forretnings- og IT-arkitektur.

Kilder

  1. Bonnerup et al, Erfaringer fra statslige IT-projekter – hvordan gør man det bedre, Teknologirådet, 2001.