Få styr på datasikkerhed i kommunerne

På netmediet Version2 og netmediet ComputerWorld kan man læse, at Datatilsynet har kritiseret 16 danske kommuner efter, at Datatilsynet har gennemført kontroller af kommunernes praksis for håndtering af persondata. Det er under alle omstændigheder kritisabelt at offentlige myndigheder ikke har styr på datasikkerhed, og det er under alle omstændigheder et emne som kommunerne skal prioritere væsentligt højere end det gøres i dag.

Den enkelte kommune kan gøre en del for at få bedre styr på datasikkerhed og ikke alle aktiviteterne behøver at være komplicerede eller besværlige at få gennemført. I dette blogindlæg forudsættes at den enkelte kommune i forvejen har et vist kendskab og overblik over sine IT-systemer og kontrakter med IT-leverandører. Ligeledes forudsættes det at den enkelte kommune kan anskaffe sig medarbejdere med de fornødne forretningsmæssige- og tekniske kompetencer.

Trin 1 – Alloker ansvaret højt og centralt

Det er vigtigt at der allokeres ansvar centralt i kommunen. Ansvaret bør være helt på direktionsniveau og ansvaret bør skrives ind i den pågældende direktørs kontrakt, så det er muligt at sanktionerer direktøren. Det operationelle ansvar kan også delegeres til andre medlemmer af kommunens direktion med henblik på at manglende overholdelse og overblik over data vil kunne sanktionere den pågældende direktør betydeligt. Den enkelte kommune bør sidestille manglende overblik og effektiv IT- og datasikkerhed med et niveau som svarer sig til et manglende overblik og kontrol med kommunens budgetter og regnskaber.

Trin 2 – Etabler en kontrolmyndighed

Kommunens direktion skal have etableret en kontrolmyndighed der rapporterer direkte til direktionen, så mellemledere m.v. ikke har mulighed for at påvirke rapporterne om kommunens sikkerhedstilstand som skal forelægges direktionen minimum engang om måneden.

Trin 3 – Operationel sikkerhed adskilles fra kontrolmyndighed

I tilfælde af kommunen har et kontor (eller afdeling) med ansvar for digitalisering og IT, så skal kontrolmyndigheden ikke placeres i samme kontor som dem der udarbejder kravspecifikationer, kontrollere drift eller uddanner brugere i anvendelse af fagsystemer m.v.

Kontrolmyndigheden kan trække på kompetencerne i de førnævnte kontorer, men hvis kompetencerne ikke separeres så vil data antageligvis blive farvet for positivt.

Trin 4 – Stil krav om sikkerhed

Kommunens kontor (eller afdeling) for digitalisering (og IT) skal stille krav om at alle IT-løsninger der anskaffes overholder datapersistens, linje og diskkryptering samt at en central brugerdatabase anvendes. Ligeledes skal der i hver kontrakt skrives ind at kommunen kan kontrollere overholdelsen af IT-sikkerhed hos leverandøren i forhold til den eller de IT-løsninger der er driftet hos den pågældende leverandør.

Trin 5 – Kontinuerlig uddannelse

Kontrolmyndigheden skal sammen med kontoret for digitalisering sikre at alle nyansatte bliver trænet i IT-sikkerhed og datasikkerhed og grundelementerne i persondataloven. Ligeledes bør eksisterende ansatte blive introduceret til loven og gennemføre et tilsvarende kursus. Kommunen kan med de to programmer understøtte flere forskellige hastigheder for træning i IT- og datasikkerhed, hvortil uddannelsen af de eksisterende medarbejdere kan varetages af et eksternt konsulentbureau.

Trin 6 – Gennemfør leverandørkontrol

Kontrolmyndigheden skal påbegynde leverandørkontrol, hvortil den enkelte kommunens indkøbsafdeling (eller kontor for indkøb og kontraktstyring) skal bistå med at få holdt kontrakterne ajourført med databehandleraftaler. Kontoret for digitalisering kan eventuelt bistå med kompetencer om systemernes opbygning og historikken for hvert system.

Trin 7 – Risikovurderinger

Kontrolmyndigheden skal foretage risikovurderinger af data såvel som IT-systemer der påvirker den enkelte kommunens forretningsdrift. Risikovurderingerne skal foretages minimum engang i kvartalet. Risikovurderingerne bør forelægge direktionen og kommunalbestyrelsen til nærmere granskning og allokering af midler til begrænse at de relevante risici ikke realiseres.

Trin 8 – Procesafklaring

Kontrolmyndigheden og kontoret for digitalisering skal sammen udarbejde oplæg til processer der støtter op håndtering af kommunens data herunder persondata. Processerne skal jævnligt kommunikeres ud af henholdsvis kontrolmyndigheden og kontoret for digitalisering; hvor det er vigtigt   at processerne er tilgængelige for alle kommunens medarbejdere og at processerne er visuelt formidlede (diagrammer, billeder og videoer).

Chefkonsulenter og kontorchefer i de enkelte kontorer i kommunen skal kunne finde processerne og håndhæve disse, hvis de bliver opmærksomme på overtrædelser af persondataloven eller lemfældig omgang med kommunens data.

Trin 9 – Etabler whistle blower ordning

Kontrolmyndigheden skal etablere en whistle blower ordning, så kommunens ansatte eller borgere anonymt kan kontakte kontrolmyndigheden om tilfælde der omhandler persondata eller andre af kommunens data.

Konklusion

Den enkelte kommune sikre borgernes data i vidt omfang og samtidigt leve op til persondataloven. Det er vigtigt at den enkelte kommune forstår, at IT- og datasikkerhed ikke er noget der kan outsources, og det er ligeledes vigtigt at den enkelte kommune arbejder aktivt med at fremme sine kompetencer, kontroller og kravstilling samt anskaffelser i forhold til IT- og datasikkerhed.

De ni trin kan bruges af kommunerne som inspiration til at få bedre styr på deres håndtering af vigtige data herunder persondata.

Den fælles offentlige digitaliseringsstrategi

Der findes mange gode grunde til at den offentlige sektor arbejder aktivt med at have en fælles digitaliseringsstrategi, og blandt disse er at den vil kunne fungere som pejlemærke for den portefølje af digitaliseringsprojekter, som den offentlige sektor i dens forskellige sektorer skal sættes gang i.

Den fælles offentlige digitaliseringsstrategi tager sit udgangspunkt at arbejdet i størst muligt omfang skal forankres lokalt hos de enkelte institutioner i henholdsvis kommunerne, regionerne og staten, hvilket også vil sige at strategien har en svaghed ved at kommunerne, regionerne og staternes institutioner skal arbejde aktivt i en slags fra bunden op for at få implementeret strategien, og for at den offentlige sektor, som helhed, kan opnå de ønskede gevinster.

De enkelte kommuner vil derfor blive nødt til selv at løfte de byrder som pejlemærkerne og deres projekter medfører, og det betyder ligeledes at de enkelte kommuner skal in-source kompetencer om digitalisering og IT-arkitektur, eller kommunerne som et alternativ går sammen i såkaldte digitaliseringsforeninger.

Det som er relevant at bemærke i den seneste udgave af den fælles offentlige digitaliseringsstrategi er de tre følgende trends:

  1. Den offentlige sektor i Danmark vil genundersøge mulighederne for anvende teknologier i skyen (cloud).
  2. Den offentlige sektor skal blive bedre til at dele data på tværs af kommuner, regioner og staten.
  3. Den offentlige sektor skal have et højt niveau af IT-sikkerhed.

De tre ovenstående trends har været behandlet før i forskellige varianter, men nu bliver disse for alvor italesat. Det betyder, hvis man skal tolke strategien rigtigt, at både kommuner, regioner og ikke mindst staten skal gære mere for at kunne anvende de rigtige sourcing leverandører, som vil være i stand til at stile infrastruktur til rådighed fx via store datacentre. Ligeledes skal kommuner, regioner og staten være bedre til at anvende integrationer til (grunddata) mellem forskellige databaser, og dette skal ske igennem fælles infrastrukturkomponenter, så data deles effektivt og med de rette interessenter. Ydermere så betyder den nye fælles offentlige digitaliseringsstrategi, at den offentlige sektor skal øge sit fokus på at opretholde et højt niveau af IT-sikkerhed.

Den fælles offentlige digitaliseringsstrategi stiller derfor følgende til rådighed som pejlemærker for de forskellige kommuner:

  1. Kommunerne skal standardisere deres applikationsportefølje ved, at applikationerne skal hente data fra bestemte infrastrukturkomponenter.
  2. Kommunerne skal ved indkøb af nye IT-løsninger satse på at grunddata og data der indsamles om borgerne, virksomhederne og NGO’erne ikke begrænses til en forretningssilo, men at data skal kunne udveksles.
  3. Kommunerne skal ved investering i nye informationsteknologier understøtte at IT-løsningernes sikkerhedsmodeller opdateres.

Konklusion

Den fælles offentlige digitaliseringsstrategi giver kommunerne en række forskellige pejlemærker, hvori de tre vigtigste pejlemærker omhandler sourcing (skyen), genanvendelse af grunddata og genanvendelse af indsamlede data samt et behov for et højere sikkerhedsniveau.

Kommunerne bliver også nødt til at sætte gang i en række projekter der ikke nødvendigvis styres fra centralt hold, hvilket betyder at kommunerne i højere grad vil blive eksponeret for behov in-house kompetencer inden for digitalisering og IT-arkitektur. Kommunernes alternativer til in-sourcing er digitaliseringsforeninger.

Udfordringer ved borgervendte selvbetjeningsløsninger

Borgere, virksomheder og NGO’er har alle et behov for at kunne kommunikere med de kommuner, hvor de har til huse, og det har ligeledes vist sig for de fleste organisationer i den offentlige sektor, at der er en positiv business case ved at understøtte digital kommunikation med borgere, virksomheder og NGO’er. Trods den gode business case og indsatser over flere omgang så findes der stadig et kæmpe udviklingspotentiale i de kommunale selvbetjeningsløsninger, og der findes stadig en del udfordringer med at anvende dem.

Kommunerne bør derfor arbejde med at sat indkøb og udvikling af selvbetjeningsløsninger ind i den rette proces, og kommunerne bør ligeledes arbejde med at få inkluderet omkostninger til design, tests og vedligeholdelse af selvbetjeningsløsningerne.

Dårligt design

Kommunerne har både en række udfordringer og en række mulige løsninger på at få rettet op på de trends der findes i øjeblikket for kommunale IT-løsninger.

Udfordringer

Nedenstående er typiske tegn på at der vil opstå udfordringer med selvbetjeningsløsningerne:

  • Borgerne bliver ikke involveret.
  • Brugerne i kommunen bliver kun delvist involveret.

Mulig løsning

Kommunerne skal involvere borgere i forskellige aldersgrupper og i forskellige samfundslag. Dermed sagt skal kommunen begynde at få skabt kontakt til de potentielle brugere af selvbetjeningsløsningen. Det betyder at digitaliseringskonsulenten eller IT-arkitekten skal have identificeret den eller de målgrupper der skal bruge løsningen, og en repræsentativ gruppe skal inviteres ind til workshops, om hvordan selvbetjeningens forventes anvendt, og hvad der skal til for at få selvbetjeningsløsningen til at være brugervenlig.

De administrative medarbejdere skal ligeledes på workshops med henblik på at få styr på den kontekst som selvbetjeningsløsningen skal anvendes i, og hvordan brugergrænsefladen skal være designet med henblik på at imødekomme sagsbehandlingen.

Brugerne skal involveres til at få “optegnet” et bud på en grafisk brugergrænseflade. Brugergrænsefladen skal leverandøren i hænde, så selvbetjeningsløsningernes brugergrænseflader bliver udviklet rigtigt første gang.

Kommunerne skal følge op på brugen af selvbetjeningsløsningerne, og jævnligt holde brugergrænsefladerne opdateret. Sidst men ikke mindst så bør kommunerne aktivt involvere de mennesker, som i kommunen vil stå for at holde selvbetjeningsløsningen og det samlede system opdateret, da de skal kunne indgå i opsætningen.

IT-sikkerhed

De borgervendte selvbetjeningsløsninger kan udgøre både en effektiviseringsfaktor og en IT-sikkerhedsmæssig risiko, hvis de designes forkert, eller værre endnu bruges forkert. IT-sikkerhed er et emne som bliver mere og mere relevant for kommunerne, og udfordringerne med at gøre løsningerne anvendelige og samtidigt sikre.

Udfordringer

Nedenstående er typiske tegn på at der vil opstå udfordringer med selvbetjeningsløsningerne:

  • Data fra kommunens “borgervendte” zone på netværket skal i kontakt med administrative systemer på den sikre zone. Åbning af netværkszonen kan give adgang til uønskede mennesker adgang til data.
  • Data kan vise sig at være korrupte, hvilket kan påvirke stabiliteten af administrative systemer.
  • Ustabile administrative systemer kan lede til ustabile forretningsprocesser.

Mulig løsning

Det giver mening i de fleste tilfælde for kommunerne at gøre transporten af data fra selvbetjeningsløsningen til de administrative systemer asynkrone. Ydermere skal filer der flyttes fra selvbetjeningsløsningerne ind på den sikre netværkszone scannes, og inficerede filer skal kasseres. Filer der kommer i kendte formater kan ydermere omskrives, så eventuelt indlejrede makroer bliver fjernet. Anvende asynkrone integrationer, hvor data flyttes fra en beskedkø i kommunens DMZ til den sikre zone. Sidst men ikke mindst, så skal dataforbindelserne mellem selvbetjeningsløsningerne fra usikre til sikre zoner være krypterede, så mulige indtrængere på kommunernes de-militarized zoner, ikke kan “lytte” med til kommunikationen, og få adgang til de data der sendes.

Integration til administrative systemer

Kommunerne har behov for at kunne anvende data sikkert, stabilt og effektivt. Data fra selvbetjeningsløsningerne kan derfor med fordel få udviklet integrationer mellem de borgervendte selvbetjeningsløsninger og de administrative systemer (såvel som fagsystemer) der kan anvende data til at gøre forretningsprocesserne mere sammenhængende og mere effektive.

Udfordringer

Der findes forskellige udfordringer der kan have indflydelse på om system-til-system integrationerne vil bidrage med den størst mulige værdi:

  • Etablering af system-til-system integrationer til selvbetjeningsløsninger kan hurtigt vise sig uoverskuelige, hvis mange systemer anvender dem.
  • System-til-system integrationer kan vise sig uoverskuelige at vedligeholde, hvis de ikke findes på en central integrationsplatform.
  • System-til-system integrationer kan vise sig svære at anvende effektivt mellem systemer, hvis de kun er synkrone.

Herudover kan der opstå udfordringer med system-til-system integrationer, når selvbetjeningsløsningerne og de administrative systemer opdateres eller sidenhen opgraderes. Dermed sagt så bliver det nødvendigt for kommunerne at tage mere ejerskab over løsningerne og planlægningen af indkøb og opdateringen. Kommunerne bør også forvente flere omkostninger ved indkøb af IT-løsninger.

Mulig løsning

For at selvbetjeningsløsninger kan skabe den størst mulige værdi for kommunen så skal de data der kommer fra selvbetjeningsløsningen kunne flyttes over i administrative systemer automatisk. Dette kræver at der udvikles integrationer mellem selvbetjeningsløsningerne og de administrative systemer.

Integrationerne må forventes at blive mere og mere efterspurgte, og det gør samtidigt at, hvis der opstår en fejl på en af integrationerne til selvbetjeningsløsningen, så vil det kræve flere ressourcer at få rettet op på fejlen. Den ekstra tid og de ekstra ressourcer vil gøre det mere omkostningsfuldt for kommunen at få sine forretningsprocesser til at fungere korrekt.

Integrationerne kan i visse tilfælde kunne genbruges, hvis de er centraliseret på en integrationsplatform, hvor det vil være muligt at anvende en række integrationsmønstre, men også at få sikret overvågning, service level agreements m.v.

Konklusion

Kommunerne skal arbejde på at få styr på forretningsarkitekturen og applikationsarkitekturen for deres selvbetjeningsløsningerne. Kommunerne må indregne omkostningerne til bedre design, bedre sikkerhed og integrationer mellem selvbetjeningsløsningerne og de administrative systemer.

Kommunerne skal stille krav til, at selvbetjeningsløsningerne der indkøbes overholder god skik for IT-sikkerhed herunder:

  1. Kryptering af forbindelse.
  2. Kryptering af indhold på selvbetjeningsløsningen.
  3. Skanning af filer fra usikker til sikre zone.
  4. Asynkrone integrationer, så data ikke kommer direkte ind på den sikre zoner.

Kommunerne skal, når de udarbejder business cases for indkøb af selvbetjeningsløsninger og administrative systemer, at systemernes sikkerhedsmodeller skal opdateres over tid, og dette kan kræve, at IT-løsningerne skal udvikles og implementeres. Ændring i sikkerhedsmodellerne kan ligeledes betyde, at integrationerne mellem systemerne begynder ændre adfærd.

Læren fra Middelfart

Tabloid pressen har identificeret en meget uheldig sag i Middelfart Kommune, hvor en IT-løsning og manglende kontrolprocesser har ført til at søgninger på populære søgemaskiner har givet alle med adgang til internettet adgang til personfølsomme data, hvilket også har ført til tab af prestige for Middelfart kommune (læs mere i kilde 1).

Der har med andre ord været en række uheldige udfald i sagen der tilsammen har ført til at kommunen nu står dårligere efter at have digitaliseret, og efterfølgende vil stå overfor en række udfordringer ved at få ryddet op i sit relativt omfangsrige systemlandskab. Selve casen læses på linket der findes i afsnittet “Kilder”.

Oprydningen og specificeringen af fremtidige IT-løsninger bør dog tage sit udgangspunkt i en sund IT-arkitektur og en tilsvarende sund forretningsarkitektur eller det der tilsammen kan kaldes for enterprise arkitektur. På trods af de uheldige udfald i sagen og den manglende IT-sikkerhed i løsningerne, så har Kommunernes Landsforening (KL) udarbejdet en række principper der netop har til formål at styre kommunernes samlet set komplekse IT-systemlandskaber bedre.

IT-arkitektur

Kommunernes Landsforening (KL) og leverandørselskabet  KOMBIT der er ejet af KL har formuleret en referencearkitektur og en række IT-arkitekturprincipper (læs mere i kilde med ID 2), som kommunerne bør følge med henblik på at specificere og sidenhen implementere gode IT-løsninger.

Principperne

Nedenstående principper er gældende for den fælleskommunale rammearkitektur:

  1. Der arbejdes imod en fælles rammearkitektur.
  2. Arkitekturen skal sikres mod leverandør lock-ins.
  3. IT-sikkerhed tænkes ind i løsningen fra starten.
  4. Forretningsservices på tværs af IT-løsninger.
  5. Opgavevaretagelsen er dokumenteret på tværs af forretningsdomæner.
  6. Brugere inddrages aktivt i behovsafklaring og udviklingsforløb.
  7. IT-løsninger udfordrer eksisterende regler og arbejdsgange.
  8. Der anvendes altid vedtagne begreber.
  9. Der er defineret entydigt ejerskab af forretningsservices.
  10. Forretningsservices meddeles omverdenen.
  11. Fælles autoritative reference- og grunddata anvendes.
  12. Forandringsrobust arkitektur.
  13. Data via åbne snitflader og kan genbruges.
  14. Alle data er uafhængige af systemet, hvor de opbevares.
  15. Data identificeres entydigt.
  16. IT-løsninger er skalerbare efter formål.
  17. IT-løsninger er robuste overfor egne og andre systemers nedbrud.

I dokumentet, der beskriver principperne, er relativt omfangsrigt, og principperne er forsøgt “SMART-evalueret”, men ikke alle principper giver lige god mening at anvende ud fra en IT-arkitekturmæssig sammenhæng. Det der er værd at mærke er bl.a. princippet om at sikkerhed skal tænkes ind i IT-løsningen fra starten, hvilket betyder at når en kommune går i udbud for at få indkøbt en IT-løsning så skal der i kravmaterialet findes krav om at IT-løsningen overholder helt basale sikkerhedsmodeller og teknologier.

Proces for involvering af IT-arkitektur

For at få involveret de rette kompetencer på de rigtige tidspunkter i idefasen, kravspecifikations- og designfasen samt implementeringsfasen så vil det give mening for de enkelte kommuner at få udarbejdet og forankret en proces for involvering af IT-arkitektur ressourcer på de rette tidspunkter.

For at få realiseret dette kunne direktionen i kommunen få fastlagt helt klare regler for, at alle IT-indkøb over 100.000 kr. skal forelægges en IT-styregruppe, som så kan beslutte at tilknytte en teknisk projektleder og ved mere komplekse investeringssager, så at tilknytte en IT-arkitekt.

Ydermere bør kommunerne få etableret en IT-anskaffelsesproces og en IT-udviklingsproces, hvor IT-anskaffelsesprocessen skal kunne “give input” til nye opgaver i IT-udviklingsprocessen.

Konklusion

Kommuner bør generelt arbejde mere struktureret med IT-arkitektur og digitalisering, og i forbindelse med indkøb af IT-løsninger så bør kommunerne arbejde ud fra de fælleskommunale arkitekturprincipper. Principperne involverer blandt andet at IT-sikkerhed tælnkes ind i IT-løsningerne fra starten af, hvilket også betyder at kommunerne skal stille krav om sikkerhed, og at der jævnligt skal følges op på IT-sikkerhed.

Kommunerne bør også arbejde med IT-sikkerhed som en del af deres målarkitektur, og i tilfældet med Middelfart Kommune, så kunne det involvere blandt andet bruger autentificering og autorisering til at se data samt at den slags IT-systemer bliver afskærmet.

Kilder

  1. http://ekstrabladet.dk/nyheder/friadgang/it-skandale-i-middelfart-handicappede-udstillet-paa-nettet/5803906
  2. http://www.kl.dk/ImageVaultFiles/id_61151/cf_202/F-lleskommunale_arkitekturprincipper_1.PDF