Strategi for cyber- og informationssikkerhed
Region Syddanmarks strategi for cyber for informationssikkerhed sætter rammerne for, hvordan regionen vil behandle og håndtere data forsvarligt og sikkert, samt hvordan vitale it-systemer skal beskyttes mod nedbrud og hackerangreb. Det gøres via fire indsatsområder.
Som borgere, patient og medarbejder skal man kunne have tillid til, at Region Syddanmark behandler og håndterer data forsvarligt og sikkert, og at regionens vitale it-systemer og it-infrastruktur, der bl.a. bruges af sygehusene, er sikret mod nedbrud.
I Region Syddanmarks strategi for cyber- og informationssikkerhed finder man rammerne for, hvordan regionen vil leve op til disse mål. Strategien udpeger 4 indsatsområder, der løfter regionens evne til at forudse, forebygge, opdage og håndtere sikkerhedshændelser. Der er samlet afsat 30 mio. kr. til at finansiere strategiens fire indsatsområder.
Strategien bygger videre på regionens Digitaliseringsstrategi 2019-2021 og de initiativer, regionen allerede har sat i gang. Samtidig lever strategien op til de nationale krav på området og bidrager til, at digitale trusler, risikovurderinger og hændelser bliver delt på tværs i sundhedssektoren mellem regioner, kommuner og øvrige aktører.
Indholdsfortegnelse
Region Syddanmarks Digitaliseringsstrategi fastslår: at borgere, patienter og medarbejdere kan være sikre på, at deres data ikke ødelægges, forvanskes eller misbruges. Samtidig skal alle vitale IT-systemer og IT-infrastruktur sikres mod nedbrud. Derfor fastlægges nu rammerne for at leve op til disse mål i form af Region Syddanmarks strategi for cyber- og informationssikkerhed.
Som borger, patient eller medarbejder i Region Syddanmark skal man kunne have tillid til, at regionen behandler og opbevarer oplysninger og data forsvarligt. Både borgere, patienter og medarbejdere skal kunne stole på, at oplysningerne opbevares forsvarligt, at de kan tilgås, når det er nødvendigt for behandlingen og, at oplysningerne er korrekte, så behandlingen sker på det rette grundlag.
Trygge og sikre rammer handler derfor også om cyber- og informationssikkerhed.
På informationssikkerhedsområdet arbejder regionen målrettet med implementering af persondataforordningen og de dertil knyttede sikkerhedsstandarder, der prioriteres meget højt, og at der i forlængelse af den nationale sektorstrategi fokuseres på NIS direktivet, GDPR og ISO 27001 som basis for den generelle kapacitetsopbygning på informationssikkerhedsområdet.
IT sikkerhed omfatter også cybersikkerhed. Det vil sige beskyttelse mod de sikkerhedsbrud, der opstår som følge af angreb mod data eller systemer via en forbindelse til et eksternt net eller system. Arbejdet med cybersikkerhed fokuserer således på håndtering og forebyggelse af sårbarheder i regionens IT-løsninger og infrastruktur – herunder forbindelse til internettet.
Det fremgår af Digitaliseringsstrategien- og af nærværende strategi, at der allerede er taget en række initiativer i regionen for at øge cybersikkerheden. Det er imidlertid et område under konstant udvikling og der er et kontinuerligt behov for at styrke og udvikle indsatserne inden for dette område.
Nærværende strategi omfatter både cyber- og informationssikkerhedsområdet. Men som det fremgår nedenfor vurderes arbejdet omkring informationssikkerhed at være i god gænge. I konsekvens heraf vil vægten i denne strategi være på cybersikkerhed og på videreudvikling af de initiativer der allerede er taget/implementering af nye initiativer på dette område.
I digitaliseringsstrategien er afsat 10 mio. kr. til finansiering af initiativer til styrkelse af IT sikkerheden. I regionens budget for 2020 er der afsat yderligere 20 mio. kr. til investering af de foreslåede initiativer samt 4 mio. kr. til afledte driftsudgifter.
It-sikkerhed består af såvel informationssikkerhed som af cybersikkerhed.
Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger til at sikre informationers fortrolighed, integritet og tilgængelighed.
Området omfatter helt overordnet den organisatoriske opbygning af regionens arbejde med informationssikkerhed, aktiviteter omkring oplysning og påvirkning af personalets adfærd, processer for personalets behandling af data, styring af leverandører af digitale ydelser samt fysiske sikringsforanstaltninger. Som beskrevet i Digitaliseringsstrategien hviler dette arbejde i udpræget omfang på GDPR, ISO 27001 og NIS.
På baggrund af ovenstående har Region Syddanmark revideret og udbygget sine retningslinjer på it-sikkerhedsområdet. Retningslinjerne adresserer såvel forventning til systemejerne som forventninger til ledelsessystemet/medarbejdere.
Informationssikkerhedsarbejdet er forankret på direktionsniveau i regionen. Tillige er der etableret lokale it-sikkerhedsorganisationer forankret i sygehusenes direktioner.
I tilknytning hertil er der etableret lokale informationssikkerhedsfunktioner, samt et tværgående videns- og kompetencecenter indenfor både teknisk og juridisk rådgivning og opfølgning. Der gennemføres blandt andet opfølgning på aftaler om databehandling og risikovurderinger på både nye og eksisterende systemer. Der følges manuelt op på brugeradgange og rettigheder.
Medarbejderne oplever tillige, løbende aktiviteter inden for awareness som består af film, plakater, nyheder, instrukser, øvelser og uddannelse. Endelig har regionen udpeget en central databeskyttelsesrådgiver, der tilser at regionen lever op til egne regler og samtidig agerer uvildig kontaktperson for bekymrede patienter, borgere og ansatte.
Overordnet vurderes det, at arbejdet med informationssikkerhed er i god gænge. Der er igangsat en struktureret og systematisk opfølgning på en række aktiviteter. Samtidig øges opmærksomheds- og awareness niveauet på tværs af regionen. Der er selvsagt fremadrettet behov for løbende udvikling af retningslinjer, den praktiske udførelse og tilegnelse af kompetencer hos ledelse og medarbejdere.
Cybersikkerhed omfatter de tiltag og handlinger, som regionen foretager for at sikre sig mod sikkerhedsbrud, som kan opstå som følge af angreb mod regionens digitale systemer eller de data som behandles i disse systemer – typisk via en digital forbindelse til et netværk eller system.
Arbejdet med cybersikkerhed fokuserer således på håndtering og forebyggelse af sårbarheder ved regionens systemer og infrastruktur, tekniske løsninger til sikring af data, sikkerhedstiltag til udstyr, applikationer og netværk – og med et særskilt fokus på angreb fra eksterne trusler fra blandt andet hackere.
Sikkerheden omkring den regionale platform i form af infrastruktur og kernesystemer er løbende udbygget, således at regionens data og systemer, som udgangspunkt er beskyttet mod de væsentligste trusler. På den tekniske side opleves imidlertid et fortsat kapløb mellem potentielle skadevoldere og regionens it-sikkerhedsansatte.
Området er derfor gennem de senere år tilført ekstra ressourcer i form af såvel medarbejdere organiseret i et team, dedikeret til arbejdet med at opdage og håndtere sikkerhedshændelser (security operations team) som adgang til tekniske hjælpemidler – herunder overvågnings- og alarmsystemer. Aktuelt øges sikkerheden i forbindelse med etableringen og bestykningen af regionens nye datacenter. Det sker gennem anvendelse af moderne principper for sikring af data tages i anvendelse. Imidlertid fortsætter kapløbet i et stadigt stigende tempo.
Det er derfor nødvendigt at gennemføre mere strukturerede tiltag og tage mere systematiske metoder i brug, hvis regionen også fremadrettet skal kunne beskytte data i form af automatisering af overblik og alarmering, der kan kobles på såvel interne som eksterne varslings- og trusselsvurderingssystemer.
Men ikke mindst ved at reducere kompleksiteten i regionens it-landskab.
Det skal bl.a. ske gennem harmonisering og fælles forpligtende beslutninger, der fører til anvendelse af samme løsning, når vi har samme opgave. Det er som nævnt indledningsvist disse indsatser og tiltag der er i fokus i denne strategi.
Strategien og det tilhørende handleplan (roadmap) for cybersikkerhed har til formål at øge den tekniske robusthed og sikre bedre beskyttelse af regionens kritiske it-systemer. Den skal bidrage til øget viden og kompetencer hos regionens ansatte omkring cyber- og informationssikkerhed, styrke koordinering og samarbejdet om informationssikkerhed i regionen samt bidrage til regionens opfyldelse af sektorstrategien.
Strategien benævnes herefter Sektorstrategien.
Strategien skal derfor understøtte et samlet løft af it-sikkerhedsområdet, der øger regionens evne og kapacitet inden for fire afgørende kategorier:
Forudse
Potentielle hændelser ved at afdække sikkerhedsrisici skal forudses.
Forebygge
Tekniske og organisatoriske sikkerhedstiltag inden for både udstyr, applikationer og netværk kan forebygge sikkerhedshændelser. Det indeholder også udvikling af personalets sikkerhedskultur i omgangen med it, således der skabes øget bevågenhed og en mere hensigtsmæssig omgang med såvel software som hardware.
Opdage
Når skaden er sket, skal den opdages hurtigst muligt. Derfor skal der være overvågning og analyse af hardware, og systemer samt tilhørende løbende træning og forbedring af sikkerheden.
Håndtere
Når en hændelse er opdaget, skal denne hurtigst muligt begrænses. Det vil bl.a. sige at berørte områder i Region Syddanmarks systemer og infrastrukturen genoprettes, så normal drift kan genoptages.
Cyber- og informationssikkerhed er et nationalt anliggende med mange opgaver på tværs af sektorer. Der etableres derfor modeller for fælles overvågning, og digitaliseringsstrategien har et nationalt fokus.
Danske Regioner, KL og staten godkendte ved indgangen til 2019 sektorstrategien for cyber- og informationssikkerhed på sundhedsområdet.
Sektorstrategien tager ligeledes afsæt i de fire kategorier: forudse, forebygge, opdage og håndtere.
Sundhedssektoren bliver stadig mere sårbar over for trusler mod cyber- og informationssikkerheden.
Et vidt forgrenet it-landskab med både store og små aktører, der afspejler opgavedelingen mellem regionerne og primærsektor. Organiseringen i sig selv med især mange mindre og individuelle aktører, øger kompleksiteten. Derfor etableres med strategien en koordination på tværs af hele sektoren, således at informationer og trusler og risikovurderinger deles bredt blandt regioner, kommuner og øvrige aktører.
Medarbejdere har vidt forskellige forudsætninger for brug af it, herunder kendskab til og indsigt i it-sikkerhed. Alene i Region Syddanmark er der over 24.000 ansatte, hvoraf kun et fåtal har it og it-sikkerhed som deres primære arbejdsområde. Samtidig er driften præget af øget afhængighed af velfungerende udveksling af data på tværs af afdelinger, sygehuse og med kommuner og almen praksis, samt øvrige aktører. Med sektorstrategien sættes fokus på både awareness overfor medarbejdere og tværgående øvelser i håndtering af cybersikkerhedshændelser.
Både i Region Syddanmark og sektoren generelt ses en større mængde af ældre it-systemer, der ikke er udviklet med sigte på aktuelle sikkerhedsstandarder. Desuden er der betydelige mængder medico-teknisk udstyr, der ikke omkostningseffektivt kan udskiftes, alene for at øge itsikkerheden.
Der etableres derfor modeller for fælles overvågning og indberetning, til brug for såvel varsling som håndtering af sikkerhedshændelserne, når de opstår. Endelig vurderer Center for Cybersikkerhed, at risikoen for cyberkriminalitet i sundhedssektoren er meget høj – dette gælder særligt i forhold til kriminelles ønsker om at udnytte sårbarheder til økonomisk afpresning samt trusler rettet mod forskningsdata.
Roadmap for cybersikkerhed er et samlet forslag, der indeholder en række indsatser og planer for at styrke Region Syddanmark cybersikkerhed.
Nedenfor præsenteres et samlet forslag til handleplan (roadmap) med en række indsatser, der vurderes at bidrage til at styrke Regions Syddanmarks evne til at forudse, forebygge, opdage og håndtere sikkerhedshændelser inden for cybersikkerhedsområdet.
Det skal understreges, at initiativerne bygger ovenpå den lange række af aktiviteter, der er taget de seneste år. Mange af de foreslåede initiativer er således en fortsættelse og videreudvikling af indsatser, der allerede er sat i gang. Andre initiativer er en imødegåelse af den meget hurtige udvikling, der er i trusselsbilledet – vores indsats for fortsat at være med i kapløbet.
Herudover skal forslaget til indsatser ses i sammenhæng med de nationale initiativer, der blandt andet bliver igangsat som følge af den nationale sektorstrategi. Strategien og den tilhørende handleplan sikrer dermed, at der går en rød tråd fra de tidligere iværksatte initiativer til rækken af identificerede, nye initiativer i en samlet og målrettet indsats.
Forslaget til initiativer er opdelt efter om de styrker evnen til at forudse, forebygge, opdage eller håndterer sikkerhedshændelser. Der vil dog være flere initiativer, der bidrager til mere end én kategori.
5.1 Forudse
At forudse handler om, at regionen i højere grad skal være i stand til at forudse potentielle cybertrusler og hændelser. Det kræver varslingssystemer og viden om sårbarheder. Særligt i forhold til varsling og evnen til at forudse trusler, vil regionen have behov for et tæt samarbejde med eksterne parter (myndigheder og leverandører). Det er forventningen, at der i regi af Sundhedsdatastyrelsen over tid etableres en effektiv national koordination af varsler og et nationalt overblik over kritiske forretningsprocesser. De nationale initiativer skal følges op af en regional indsats, der sikrer varsling af sygehuse og de systemansvarlige
Desuden skal der laves løbende risikovurderinger af regionens mest kritiske forretningsprocesser og it-systemer. Og disse skal holdes op imod de nationale initiativer.
5.1.1 Forslag til initiativer
5.1.1.1 Anskaffelse af løsning til at it-understøtte håndteringen af sikkerhedshændelser (SIEM)
Formålet med initiativet er, at sikre at Region Syddanmark bliver i stand til at opdage kompromittering af systemer og netværk hurtigt og kunne reagere proaktivt på disse. Med et it-værktøj til at understøtte arbejdet gøres dette langt hurtigere og mere i overensstemmelse med best practice på området.
Brugen af SIEM-løsninger indgår som et element i sektorstrategien for sundhedsvæsenet, hvorfor der lægges op til at anvende løsninger, der ved behov kan kobles til eventuelle fælles tværgående løsninger.
- Nuværende situation:
Der gennemføres en foranalyse og anskaffelse af SIEM løsning inden udgangen af 2019. - Transition mod fremtidig situation:
SIEM løsningen implementeres trinvist, startende i Regional IT for derefter at blive implementeret bredt i hele Region Syddanmark
5.1.1.2 It-understøttelse af kontrol og ledelsesrapportering (GRC modul)
For at leve op til de stigende krav om dokumentation af kontroller og løbende ledelsesrapportering tages et nyt værktøj i brug, der it-understøtter procesarbejdet. GRC modulet giver mulighed for at automatisere risikostyringen og samtidig hæve governance niveauet omkring håndtering af sikkerhedshændelser betragteligt.
- Nuværende situation:
Region Syddanmark råder allerede over GRC modulet og formålet med initiativet er at udbrede brugen på tværs af regionen. - Transition mod fremtidig situation:
Trinvis implementering af GRC modul startende med nogle få udvalgte områder, for herefter at udvide gradvist på baggrund af sikkerheds- og forretningsmæssig prioritering.
5.1.1.3 Whitelisting
Whitelisting øger sikkerheden, idet der kun kan downloades og installeres en række programmer, der på forhånd er sikkerhedsgodkendt. Whitelisting anbefales pt. af Rigsrevisionen og er ligeledes et indsatsområde inden for best practices for cybersikkerhed iht. de 20 kritiske områder, som er identificeret og beskrevet af det amerikanske forsvar (åbner i et nyt vindue) (#2 Inventory of Authorized and Unauthorized Software).
- Nuværende situation:
Siden Rigsrevisionen påpegede den manglende anvendelse af whitelisting, er der sket en opgradering af regionens pc-klienter til Windows 10. Med denne opgradering er adgangen til at installere applikationer lokalt blevet fjernet. Derved er risikoen for at skadelige programmer installeres af brugerne reduceret væsentligt. Hensynet til brugernes adgang til selv at kunne installere specialiserede programmer til eksempelvis forskningssamarbejde eller lokale printere betyder imidlertid, at det fortsat er nødvendigt med mulighed for at tildele adgang til at brugere kan installere applikationer på deres arbejdspc’er. Der er gennemføres derfor en analyse af IT-understøttelse af projekter og forskning i sidste del af 2019. - Transition til fremtidig situation:
Der vil blive gennemført yderligere analyse og markedsafdækning af løsninger til at understøtte en fuld implementering af whitelisting. Implementeringen vil ske gradvist baseret på mindre tekniske afprøvninger (POC’er) for at sikre den bedst mulige proces for de af regionens medarbejdere, som vil blive berørt af projektet.
5.1.1.4 Systematiske sårbarhedsscanninger
For at forudse mulige angreb er det nødvendigt at scanne netværket for sårbarheder. Det er nødvendigt at gøre dette løbende og systematisk på baggrund af kendte risici og konkrete trusler.
- Nuværende situation:
Der er igangsat et arbejde omkring gennemførelse af sårbarhedsscanninger af regionens IT infrastruktur. - Transition mod fremtidig situation:
Arbejdet med gennemførelse af sårbarhedsscanninger skal systematiseres og kobles til kendte trusler og trusselsvurderinger.
5.1.2 Økonomi og tidsramme for initiativer der styrker evnen til ”at forudse”
Investeringsbehovet til initiativerne i kategorien forudse ventes at udgøre 8,0 mio. kr. i strategiperioden.
| Aktivitet | Q3+ Q4 2019 |
Q1+ Q2 20 |
Q3+ Q4 20 |
Q1+ Q2 21 |
Q3+ Q4 21 |
Q1+ Q2 22 |
Q3+ Q4 22 |
|---|---|---|---|---|---|---|---|
| SIEM: Foranalyse og anskaffelse | X | ||||||
| SIEM: Trinvis implementering | X | X | X | ||||
| GRC modul: Anskaffelse | X | ||||||
| GRC modul: Trinvis implementering | X | X | X | X | |||
| Whitelisting analyse og markedsafdækning | X | X | |||||
| Whitelisting tekniske test og tidlig implementering | X | X | |||||
| Whitelisting fuld implementering | X | X | X | ||||
| Systematiske sårbarhedsscanninger – gennemførelse af scanninger | X | X | |||||
| Systematiske sårbarhedsscanninger – systematisering af scanninger | X | X | X |
5.2 Forebygge
Forebyggelse af cyber- og informationssikkerhedshændelser sker dels i regi af det generelle informationssikkerhedsarbejde, og i cybersikkerhedsarbejdet.
Forebyggelsesindsatsen i informationssikkerhedsarbejdet retter sig bl.a. mod medarbejderadfærd og imod samspillet med leverandørerne (databehandleraftaler). Disse indsatser vil jf. fokus på cybersikkerhed ikke blive behandlet yderligere i denne strategi.
Forebyggelsesindsatsen i cybersikkerhedsarbejdet retter sig mod den tekniske sikring af sektorens systemer og it-infrastruktur - til mindst mulig gene for det daglige arbejde med it-værktøjer.
Forebyggelsesindsatsen retter sig mere specifikt på følgende områder: Reduktion af kompleksitet, klassifikation af data, netværkssikkerhed, beredskabsplaner og standardiserede processer.
Reduktion af kompleksitet
For at kunne arbejde effektivt med forebyggelse er der brug for at reducere kompleksiteten i regionens IT landskab. Kompleksiteten skal reduceres ved fælles og struktureret registrering af og håndtering af udstyr, systemer og brugerrettigheder for både ansatte og eksterne samarbejdsparter.
Klassifikation af data
Digitalisering er afhængig af data og på sundhedsområdet, er det i særdeleshed følsomme oplysninger. Der skal derfor arbejdes systematisk med korrekt klassificering af data samt sikring af korrekt opbevaring og sletning, når der ikke længere er grundlag for at opbevare data.
Netværkssikkerhed
Netværkssikkerhed handler om at sikre proaktive sikkerhedsanalyser af trafikken på regionsnetværket, opdeling af netværk i mindre segmenter samt sikring af eksterne adgange til Region Syddanmarks netværk.
Beredskabsplaner
Beredskabsplaner bidrager til at data kan genskabes efter nedbrud, at backup procedurer og beredskabsplaner er dokumenterede, at alle kritiske risici for Region Syddanmarks drift er afdækket, at der løbende gennemføres test af, at it-miljøet kan genetableres i overensstemmelse med forretningens krav og forventninger samt at der også er tilstrækkelig sikring af de fysiske adgangsforhold til f.eks. serverrum m.v.
Standardiserede processer
Udover de nævnte indsatsområder er der behov for fokus på legacy-systemer (gamle systemer). Dette område indgår i sektorstrategien, hvor der lægges op til en landsdækkende kortlægning og risikovurdering heraf. Når denne foreligger, vil det være muligt at udvikle relevante initiativer på dette område.
5.2.1 Forslag til initiativer
5.2.1.1 Reduktion af kompleksitet
For at kunne arbejde effektivt med forebyggelse er der brug for at reducere kompleksiteten i regionens IT landskab. Kompleksiteten skal reduceres ved fælles og struktureret registrering af og håndtering af udstyr, systemer og brugerrettigheder for både ansatte og eksterne
samarbejdsparter.
5.2.1 Styring af aktiver (udstyr og systemer)
Det er nødvendigt at sikre et opdateret overblik og kontrol med hvilke aktiver (pc’er, smartphones, tablets, servere, it-systemer mv.), der er registreret, og hvilke typer af forbindelser de har til øvrigt udstyr.
5.2.1.1 En opdateret oversigt/database (CMDB)
En opdateret CMDB, der samler og opretter information fra mange forskellige datakilder om hardware og applikationer, og hvordan de hænger sammen indbyrdes, og gør denne information tilgængelig ét sted, er afgørende for:
- at identificere det udstyr og de applikationer der kobles til netværket
- at understøtte en effektiv overvågning af netværket og trafikken herpå
- at kunne sikre at alt udstyr og applikationer er opdateret med det nyeste antivirus og sikkerhedspatches
- at understøtte reetablering af systemer og dermed understøtte it-beredskabet
- Nuværende situation:
Region Syddanmark råder i dag over en CMDB. Den blev oprindeligt anskaffet og sat i drift med henblik på anvendelse udelukkende som et rent teknisk værktøj og ikke anskuet som et bredt forretningsunderstøttende og forretningskritisk værktøj, der for alvor kan understøtte cybersikkerheden. - Transition til fremtidig situation:
CMDB’en skal opdateres og opgraderes til at samle og oprette information fra mange forskellige datakilder om hardware og applikationer, og hvordan de hænger sammen indbyrdes, og gøre denne information tilgængelig ét sted. Dette vil ske som en trinvis proces (iterationer) med udgangspunkt i en sikkerhedsmæssig og forretningskritisk prioritering.
5.2.1.2 Brugerrettighedsstyring
Det er nødvendigt at sikre et opdateret overblik og kontrol med hvilke brugere der er registreret og hvilke rettigheder de har – dette gælder både interne brugere (ansatte i Region Syddanmark) og eksterne brugere (f.eks. konsulenter). Der foreslås følgende initiativer:
5.2.1.2.1 Udbygning af den fællesregionale brugeradministration (IdM)
Den eksisterende løsning tager afsæt i et begrænset antal integrationer til it-systemer (5). Med initiativet fremrykkes tilkoblingen af flere systemer til IdM. Dette med henblik på at øge it-sikkerheden. Tilkoblingen til IdM-løsningen bidrager til dette ved at give mulighed for at gennemføre opfølgning på brugeres adgange og rettigheder i tilkoblede systemer. Denne halvårlige recertificering skal ellers foretages manuelt og danner grundlag for at sikre, at de rette brugere har de rette adgange på rette tid.
- Nuværende situation:
Der er anskaffet en løsning til håndtering af Identity Management på tværs af regionen. Løsningen har fået navnet SydID. Integration mellem de første fem (primære) systemer afsluttes med udgangen af 2019. - Transition mod fremtidig situation:
Frem mod udgangen af 2020 vil SydID blive implementeret bredt blandt regionens systemer.
Dermed bliver en ensartet brugeradministration og kontrol af adgange og rettigheder forenklet.
5.2.1.2.2 Ensretning af brugerrettighedsdatabasen (AD)
Regionens brugerrettighedsstyringsdatabase blev etableret i forbindelse med regionsdannelsen i 2006. Der er derfor behov for en opdatering og ensretning af værktøjet, så rettigheder og adgangen lever op til moderne standarder og best practice på området. Samtidig sikres fremadrettet løbende audit af AD, så eventuelle afvigelser enkelt opdages og håndteres.
- Nuværende situation:
Opdateringsprojektet er igangsat og en plan for opdatering og ensretning er under udarbejdelse.
Der udarbejdes en hvidbog, som beskriver principperne for anvendelse af AD. - Transition frem mod fremtidig situation:
Oprydning og ensretning gennemføres på baggrund af de principper, der er defineres i hvidbogen.
5.2.1.2.3 Øget sikring af brugere med administratorrettigheder
Behovet for øget sikring af brugere med administratorrettigheder skyldes, at disse er særligt udsatte for målrettede hackerangreb. Hackerne leder efter brugere med disse rettigheder, for med dem kan de komme videre ind i infrastrukturen og gøre større skade på organisationens systemer. Initiativet vil øge sikkerheden, i forhold til at forhindre uvedkommendes mulighed for at få adgang til kernen i de regionale applikationer og infrastruktur, samt adgangen til at tildele og ændre rettigheder for brugere.
- Nuværende situation:
Der har været gennemført en indledende analyse og markedsafdækning. Inden årsskiftet forventes sikkerheden omkring login at være øget for brugere med administratorrettigheder. - Transition mod fremtidig situation:
Fortsat markedsafdækning, test og implementering af fuld løsning til sikring af brugere med administratorrettigheder.
5.2.1.2.4 Øget sikring af adgangen til internetbaserede services
Blandt regionens medarbejdere ses et stigende behov for mobilitet i opgaveløsningen. Flere opgaver løses tæt på borgerene, der hvor de er og samtidig er andre medarbejdere dybt involveret i forskningssamarbejder på nationalt og internationalt niveau, hvilket også medfører en vis rejseaktivitet. Der er derfor et behov for at kunne tilgå løsninger via internettet. Dette kan dog også udnyttes af hackere, hvorfor det er nødvendigt at etablere ekstra sikkerhedstiltag omkring løsninger, der kan tilgås fra internettet – f.eks. webmail.
- Nuværende situation:
Løsningerne er i dag beskyttet med adgangskontrol og er placeret bag regionens firewall. - Transition mod fremtidig situation:
Der skal etableres en øget sikkerhed omkring adgangskontrollen og brugernes behov og adfærd skal undersøges med henblik på at implementere dette på en måde der understøtter deres arbejdsgang bedst muligt.
5.2.1.2.5 Fælles stamdata over medarbejdere og organisation (ASMO)
Anskaffelse og ibrugtagning af et system, der danner en oversigt over, hvilke medarbejdere, der er ansat hvor på tværs af regionen – herunder i forhold til medarbejdere, der arbejder i flere dele af regionen f.eks. på flere afdelinger/sygehuse og eventuelt i forskellige roller. Med initiativet sikres såkaldte autoritative stamdata om medarbejdere og organisation, så der stilles valide og opdaterede data til rådighed for andre systemer, og at vedligeholdelsen af disse data samlet set minimeres, samt at it-sikkerheden, hvad angår persondata, forbedres.
- Nuværende situation:
Projektet afsluttes med udgangen af 2019 og overgår til drift. Vedligeholdelsen af stamdata om medarbejdere og organisation er med ASMO-systemet i høj grad automatiseret og informationerne skal derfor kun vedligeholdes ét sted.
5.2.1.2.6 Understøttelse af projekt- og forskningsaktiviteter
En række medarbejdere på sygehusene har delt ansættelse i regionen og ved Syddansk Universitet. Deres opgaver består af enten udelukkende projektaktiviteter/forskning eller en kombination af klinisk arbejde og projektaktiviteter/forskning. Disse medarbejdere anvender oftest to eller flere pc'er samt muligvis andet "dobbeltudstyr" i kraft af deres ansættelse i begge organisationer. Initiativet skal afdække, hvordan regionen kan sikre, at medarbejderne får adgang til de nødvendige it-redskaber, uden at dette reducerer sikkerheden for regionen.
- Transition mod fremtidig situation:
Første fase af analysearbejdet igangsættes og afsluttes i 2019. Analysen har til formål at identificere de initiativer, der kan understøtte projekt- og forskningsaktiviteterne. Opfølgende analyser gennemføres i løbet af 2020.
5.2.1.3 Fælles forvaltning for PC klienter
Med henblik at reducere kompleksiteten i forhold til PC klienter foreslås at etablere en fælles forvaltning af PC klienter. Den fælles forvaltning skal understøtte sygehusene og øvrige enheders behov, og samtidig sikre et ensartet højt sikkerhedsniveau på klient-platformen. Fælles forvaltning af PC klienter giver en konsolideret platform til at lægge applikationer på pc’er (SCCM). Derudover defineres standard applikationspakker, der kan lægges på pc’erne.
Overordnet reduceres kompleksiteten ved at reducere i antallet af versioner for det enkelte softwaresystem og dertil reduceres antallet af pc-modeller, som medarbejderne kan vælge imellem.
- Nuværende situation:
Der er sket en vis ensretning og harmonisering af regionens PC klienter i forbindelse med den netop afsluttede opgradering til ”Windows10”. - Transition mod fremtidig situation:
Der skal etableres en governance og fælles organisering omkring forvaltning af PC klienter i regionen. Herefter skal den fælles forvaltning af PC klienter implementeres. Samtidig skal antallet af forskellige PC modeller i regionen reduceres.
5.2.2 Ny digital identitet og signatur
Regionerne skal senest med udgangen af 2021 have taget nye elektroniske medarbejderidentiteter i brug, som erstatning for alle nuværende certifikater (OCES) samt have ændret de selvbetjeningsløsninger, hvor borgerne brugere deres NemID i dag, da dette erstattes af MitID.
Dette sker for at leve op til nye fælleseuropæiske regler på området. Initiativet er allerede finansieret som ”skal” projekt, da det udspringer af økonomiaftalen for 2018.
- Nuværende situation:
Projektet er i gang og er i analysefasen.
Transition mod fremtidig situation:
Anskaffelse og efterfølgende implementering forventet igangsat i januar 2020.
5.2.3 Håndtering af data
I sektorstrategien peges på at forebyggelsesevnen bl.a. øges ved at styrke de rette og tidsvarende tekniske foranstaltninger med henblik på at øge kapaciteten til at beskytte data og systemer.
5.2.3.1 Sikker opbevaring
Ansatte i Region Syddanmark anvender en række it-systemer i deres daglige arbejde. Disse systemer anvendes også til at umiddelbar håndtering af fortrolige og/eller følsomme oplysninger – f.eks. i Outlook. Der er derfor igangsat et initiativ vedrørende, sikker opbevaring af følsomme og/eller fortrolige oplysninger indtil disse journaliseres i de valgte journalløsninger; ESDH eller EPJ. Initiativet skal bistå med at it-understøtte oprydning i eksisterende data/ oplysninger og sikring af fremadrettet hjælp til de ansatte i håndteringen af oplysningerne – således at disse enten journaliseres eller slettes jf. regionens retningslinjer på området.
- Nuværende situation:
Der er gennemført en analyse af arbejdsgange og behov. Oprydning i eksisterende data/oplysninger er igangsat. - Transition mod fremtidig situation:
Der skal foretages en afdækning af mulige løsninger til håndtering af fortrolige og/eller følsomme oplysninger indtil de journaliseres eller slettes. Herefter skal de nødvendige tekniske tiltag til fremadrettet hjælp til de ansatte i håndtering af oplysningerne implementeres.
5.2.4 Netværkssikkerhed
Netværkssikkerhed handler om at sikre proaktive sikkerhedsanalyser af trafikken på regionsnetværket, opdeling af netværk i mindre segmenter samt sikring af eksterne adgange til Region Syddanmarks netværk.
5.2.4.1 Lukning af åbne netværksstik
Formålet med projektet er at implementere en teknisk beskyttelse på netværket, der begrænser
adgangen hertil, når man tilslutter et device til et fysisk netværksstik. Den tekniske løsning skal bidrage til at sikre, at udenforstående ikke kan få adgang til Region Syddanmarks netværk.
- Nuværende situation:
Der er identificeret en teknisk standard, som vil være velegnet til at understøtte den øgede sikkerhed. - Transition mod fremtidig situation:
Der skal foretages en række tekniske tests og afklaringer for at sikre at den beskyttelse, der indføres på netværket kun begrænser adgangen og uønskede devices. Herefter skal løsningen implementeres bredt i regionen.
5.2.4.2 Bedre udnyttelse af firewalls
Formålet med dette initiativ er dels undersøge konsekvenserne af nogle af de sikkerhedstiltag, der allerede er i dag er mulige med de firewalls og andre sikkerhedsværktøjer, som Region Syddanmark allerede råder over, samt ibrugtage så mange som muligt af disse sikkerhedstiltag.
For at slå yderligere sikkerhed til, er det nødvendigt først at gennemføre grundige analyser af, om sikkerhedstiltagene vil påvirke systemerne negativt – f.eks. medføre væsentligt længere svartider. Projektet igangsættes som en del af fase 2 af roadmap for Cybersikkerhed.
- Transition mod fremtidig situation:
Konsekvenserne af den mere restriktive anvendelse skal afdækkes for at sikre, at der ikke vil være væsentlige negative effekter heraf – f.eks. markant længere svartider. Herefter skal så mange at restriktionerne som muligt gennemføres.
5.2.4.3 Lukning af adgangen for ukendte enheder
Der etableres med initiativet en lukning af adgangen til regionens tjenester for ikke-kendte enheder. Det kan være brugeres private telefoner eller pc’er. Der vil fortsat være adgang til f.eks. mail via webmail. Lukningen gennemføres i november 2019.
- Nuværende situation:
Lukningen gennemføres i november 2019.
5.2.4.4 Opdeling af netværket – del 2
Den tekniske og fysiske løsning til opdeling af netværket (netværkssegmentering) er gennemført i foråret 2019. Med initiativet sker en yderligere underopdeling af netværket, herunder sikring af udvalgte centrale tjenester. Den tekniske løsning til dette er allerede på plads, men det er nødvendigt at foretage en analyse af konsekvenserne ved indførelse af fuld netværkssegmentering først, samt at iværksætte kompenserende tiltag, f.eks. ved længere svartider.
- Nuværende situation:
Den tekniske og fysiske løsning til opdeling af netværket (netværkssegmentering) er anskaffet i foråret 2019. - Transition mod fremtidig situation:
Der foretages en analyse af konsekvenserne ved indførelse af fuld netværkssegmentering samt iværksættes kompenserende tiltag. Herefter kan fuld netværkssegmentering implementeres.
5.2.5 Brug af standardiserede processer på sikkerhedsområdet (ITIL)
Information Technology Infrastructure Library (ITIL) er et sæt standardiserede processer for best practise indenfor drift af IT. ITIL processerne anvendes allerede i dag i forbindelse med drift af IT i Region Syddanmark, men de specifikke processer der relaterer sig til sikkerhedsområdet er endnu ikke implementeret. Formålet med dette initiativ er at implementere disse processer i Region Syddanmark. Det vil bl.a. betyde at incidents (hændelser) og changes (ændringer), der har betydning for sikkerheden, håndteres efter en særlig procedure, der bl.a. sikrer hurtig opfølgning og eskalering, hvis det er nødvendigt. Dette er en forudsætning for, at Region Syddanmark kan reagere hurtigt – og også proaktivt – på trusler og sikkerhedsbrud.
- Transition mod fremtidig situation:
Anvendelse af ITIL til it-sikkerhedsformål planlægges afdækket i anden halvdel af 2020 og implementeres efterfølgende.
5.2.6 Økonomi og tidsramme for initiativer der styrker evnen til ”at forebygge”
Investeringsbehovet til initiativerne i kategorien forebygge ventes at udgøre 12,0 mio. kr. i strategiperioden. Dog bemærkes at initiativ 5.2.2. Ny digital identitet og signatur, er finansieret jf. Digitaliseringsstrategien.
| Aktivitet | Q3+ Q4 19 |
Q1+ Q2 20 | Q3+ Q4 20 |
Q1+ Q2 21 | Q3+ Q4 21 |
Q1+ Q2 22 | Q3+ Q4 22 |
|---|---|---|---|---|---|---|---|
| CMDB analyse | X | X | |||||
| CMDB iterationer | X | X | X | X | |||
| Udbygning af den fællesregionale brugeradministration (IdM) | X | X | X | ||||
| Ensretning af brugerrettighedsdatabasen (AD) analyse | X | ||||||
| Ensretning af brugerrettighedsdatabasen (AD) gennemførsel | X | X | |||||
| Øget sikring af brugere med administratorrettigheder – indledende sikring | X | ||||||
| Øget sikring af brugere med administratorrettigheder – fortsat markedsafdækning og øget sikring | X | X | |||||
| Øget sikring af adgangen til internetbaserede services – analyse og markedsafdækning | X | ||||||
| Øget sikring af adgangen til internetbaserede services – implementering | X | X | |||||
| Fælles stamdata over medarbejdere og organisation (ASMO) | X | ||||||
| Understøttelse af projekt og forskningsaktiviteter | X | X | X | ||||
| PC Klienter: Fælles governance | X | ||||||
| Implementering af Fælles forvaltning af PC klienter | X | ||||||
| Ny digital identitet og signatur - analyse | X | ||||||
| Ny digital identitet og signatur – anskaffelse og implementering | X | X | X | X | |||
| Sikker opbevaring - analyse og oprydning | X | X | |||||
| Sikker opbevaring - afdækning af løsninger og implementering | X | X | |||||
| Opdatering af beredskabsplaner – fokus på mindre systemer | X | ||||||
| Opdatering af beredskabsplaner – dokumentation og test af beredskabsplaner | X | X | |||||
| Lukning af åbne netværksstik – tekniske test og afklaringer | X | X | |||||
| Lukning af åbne netværksstik – implementering | X | X | X | ||||
| Sikker opbevaring - afdækning af løsninger og implementering | X | X | X | X | |||
| Opdatering af beredskabsplaner – fokus på mindre systemer | X | ||||||
| Opdatering af beredskabsplaner – dokumentation og test af beredskabsplaner | X | X | |||||
| Lukning af åbne netværksstik – tekniske test og afklaringer | X | X | |||||
| Lukning af åbne netværksstik – implementering | X | X | X | ||||
| Bedre udnyttelse af firewalls - Konsekvensanalyse | X | X | |||||
| Bedre udnyttelse af firewalls – Gennemførsel | X | X | |||||
| Lukning af adgangen for ukendte enheder | X | ||||||
| Brug af standardiserede processer på sikkerhedsområdet (ITIL) - analyse | X | ||||||
| Brug af standardiserede processer på sikkerhedsområdet (ITIL) - Implementering | X | X | |||||
| Opdeling af netværket – del 2 - Konsekvensanalyse og mitigerende tiltag | X | X | |||||
| Opdeling af netværket – del 2 – Fuld implementering | X | X | X |
5.3. Opdage
Regionen skal kunne fange mistanke om sikkerhedsbrud og hændelser hurtigt og effektivt.
Region Syddanmarks it-landskab er stort og komplekst Der gennemføres hver dag en omfattende udveksling af data mellem de mange systemer. Mange både ansatte og leverandører er hver dag inde og registrere data, læse data eller vedligeholde systemerne. Effektiv, proaktiv og tidstro overvågning af aktivitet på netværk og systemer er derfor afgørende for at kunne opdage aktuelle angreb og hændelser med risiko for sikkerheden.
Derfor skal vi kunne analysere de omfattende logs om trafik i systemer og netværket, og opdage forkert adfærd. Kunstig intelligens er et blandt de værktøjer der kan anvendes for f.eks. at analysere og opdage unormal adfærd på netværk, i systemer og på udstyr.
Det foreslås, at der med henblik på understøttelse af de denne opgave tages følgende initiativ:
5.3.1 Monitoreringsværktøj af netværkstrafikken
Med initiativet søges anskaffet og ibrugtaget et værktøj, der kan etablere et ”normalbillede” af trafikmønstret i regionens netværk med henblik på at genkende afvigende og unormal trafik, således at potentielle trusler og angreb mod regionen opdages i realtid.
- Nuværende situation:
Der er identificeret et behov for anskaffelse af monitoreringsværktøj. - Transition mod fremtidig situation:
Der skal foretages en behovsanalyse og markedsafdækning. Herefter skal værktøjet anskaffes og implementeres.
5.3.2 Økonomi og tidsramme for initiativer der styrker evnen til ”at opdage”
Investeringsbehovet til initiativet i kategorien opdage ventes at udgøre 9,0 mio. kr. i strategiperioden.
| Aktivitet |
Q3+ Q4 |
Q1+ Q2 20 |
Q3+ Q4 20 |
Q1+ Q2 21 |
Q3+ Q4 21 |
Q1+ Q2 22 |
Q3+ Q4 22 |
|---|---|---|---|---|---|---|---|
| Monitoreringsværktøj: Behovsanalyse og markedsafdækning | X | ||||||
| Monitoreringsværktøj: Anskaffelse og implementering | X | X | X | X |
5.4 Håndtere
Når en sikkerhedshændelse opdages gælder det om hurtigst muligt at afgrænse og begrænse skaden. Dette skal bl.a. gøres rent teknisk, så selvom en hacker skulle komme forbi de første barrierer, så kan denne ikke komme videre rundt i regionens netværk. Desuden skal der samarbejdes nationalt for lynhurtigt at kunne give besked om hændelser, regionerne imellem. Dette skal desuden trænes gennem beredskabsøvelser.
Det foreslås, at der med henblik på understøttelse af de regionale opgaver tages følgende initiativer:
5.4.1 Fælles styring og ensrettet håndtering af it-værktøjerne til procesunderstøttelse
Regionen anvender en række forskellige moduler, der benyttes til at it-understøtte proces og hændelseshåndtering i regionen. Med dette initiativ sikres fælles styring og ensrettet håndtering af modulerne i procesværktøjet Service Now.
- Nuværende situation:
Der anvendes pt. en række forskellige moduler til håndtering af it-hændelser. Det gælder både almindelige forespørgsler (requests), hændelser (incident), rapportering (PPM) med flere. - Transition mod fremtidig situation:
Der etableres med udgangen af 2019 en enstrenget organisering af ansvaret for processerne omkring ServiceNow.
5.4.2 Integration mellem sårbarhedsskanninger og ITSM-modul
Aktuelt er der ikke en direkte integration mellem de værktøjer, der finder sårbarheder i regionens infrastruktur og den løsning, der anvendes til registrering af sårbarhederne. En opgradering og etablering af integration, vil automatisere arbejdsgangen og dermed reducere risikoen for dobbeltarbejde og fejl.
- Nuværende situation:
Der sker i dag en manuel registrering af sårbarheder. - Transition mod fremtidig situation:
Der etableres en opgradering og integration mellem løsningerne.
5.4.3 Beredskabsplaner
Initiativet har til formål at bidrage til at data kan genskabes efter nedbrud, at backup procedurer og beredskabsplaner er dokumenterede, at alle kritiske risici for Region Syddanmarks drift er afdækket, at der løbende gennemføres test af, at it-miljøet kan genetableres i overensstemmelse med forretningens krav og forventninger samt at der også er tilstrækkelig sikring af de fysiske adgangsforhold til f.eks. serverrum mv. Dette arbejde er allerede gennemført de større systemer i regionen. Men da bl.a. it-revisionen har stort fokus på dette, er det vigtigt at det kommer til at omfatte samtlige systemer – dvs. også de mindre systemer.
- Nuværende situation:
Dette arbejde er allerede gennemført de større systemer i regionen. Der pågår aktuelt en planlægning i dialog med systemejerne om sikring af beredskabsplaner for de mindre systemer. - Transition mod fremtidig situation:
Udarbejdelse af beredskabsplaner for mindre systemer. Dokumentation og test af beredskabsplaner.
5.4.4 Udbygning af årshjul med cybersikkerhed
Aktuelt er der etableret et årshjul for informationssikkerhed. Dette bør udbygges til også at omfatte cybersikkerhedsaktiviteter i Region Syddanmark. Herunder årlige test af cybersikkerheden blandt andet penetrationstest, test af beredskab og beredskabsplaner mv.
- Nuværende situation:
Der er gennemført flere interne sikkerhedsøvelser. Endvidere er der i 2019 gennemført en ekstern test af cybersikkerheden i Region Syddanmark. Denne gentages med udgangen af 2019. - Transition mod fremtidig situation:
Der etableres et årshjul med plan for de nødvendige aktiviteter.
5.4.4 Økonomi og tidsramme for initiativer der styrker evnen til ”at håndtere”
Investeringsbehovet til initiativet i kategorien håndtere ventes at udgøre 1,0 mio. kr. i strategiperioden.
| Aktivitet | Q3+ Q4 19 |
Q1+ Q2 20 |
Q3+ Q4 20 |
Q1+ Q2 21 |
Q3+ Q4 21 |
Q1+ Q2 22 |
Q3+ Q4 22 |
|---|---|---|---|---|---|---|---|
| Fælles styring og ensrettet håndtering af it-værktøjerne til procesunderstøttelse | X | ||||||
| Integration mellem sårbarhedsskanninger og ITSM-modul | X | ||||||
| Udbygning af årshjul med cybersikkerhed | X |
Investeringerne i Region Syddanmarks indsats vedrørende cybersikkerhed ligger på 30. mio. kr, og 4 mio. kr. til dækning af årlige driftsomkostninger. Se fordelingen af midler på tværs af de fire indsatsområder.
I forbindelse med Region Syddanmarks Digitaliseringsstrategi, afsatte regionsrådet 10,0 mio. kr. til ekstra investeringer i cybersikkerhedsområdet. Med regionsrådets budgetaftale for 2020 er der afsat yderligere 20 mio. kr. til investeringer i området, samt 4,0 mio. kr. til dækning af årlige driftsomkostninger.
Initiativerne i strategien ventes at kunne gennemføres inden for den samlede afsatte investeringsramme, og fordeler sig således under de fire kategorier:
- Forudse 8,0 mio. kr.
- Forebygge 12,0 mio. kr.
- Opdage 9,0 mio. kr.
- Håndtere 1,0 mio. kr.
- I alt 30,0 mio. kr.
Hertil kommer afledte omkostninger til drift, support og vedligehold af de anskaffede løsninger – såvel leverandøromkostninger, som omkostninger til personale, der sikrer at regionen opnår de ønskede effekter af anskaffelserne. Regional IT’s driftsramme tilføres 4,0 mio. kr., som afsat i budgetaftalen.
Ordlisten ordforklarer forkortelserne, som er brugt i forbindelse med Region Syddanmarks strategi for cyber- og informationssikkerhed
Forkortelser brugt i Region Syddanmarks strategi for cyber- og informationssikkehed:
AD: Active Directory er et brugeradministrationssystem, hvori regionen styrer og kontrollerer adgang og rettigheder til it-systemer og data.
ASMO: Autoritative Stamdata om Medarbejdere og Organisation er et system som stiller valide og opdaterede data til rådighed for andre systemer.
CMDB: Configuration Management Database anvendes til identificering af udstyr og applikationer.
EPJ: Elektronisk Patientjournal.
ESDH: Elektronisk Sags- og Dokumenthåndteringssystem.
GDPR: General Data Protection Regulation eller Persondataforordningen har til hensigt at beskytte persondata.
GRC: Governance, risk management and compliance.
IdM: Identity Management.
ISO 27001: International standard til etablering af et ledelsessystem for informationssikkerhed med afsæt i en risikobaseret tilgang til styring af informationssikkerhed.
ITIL: Information Technology Infrastructure Library.
ITSM: IT Service Management. Legacy-systemer: Ældre systemer som fortsat er i brug.
NIS direktiv: Net- og Informationssikkerhedsdirektiv.
OCES: Offentlige Certifikater til Elektronisk Service er garantien for at alle almindelige transaktioner mellem myndighed og borger foregår sikkert.
PC klient image: Installationspakke med en samling af systemer til en type bruger.
PPM: Project and Portfolio Management.
POC: Proof of concept.
SCCM: System Center Configuration Management. Et system til at styre softwareopdateringer.
SIEM: Security Incident Event Management sikrer, at regionen bliver I stand til at opdage kompromittering af systemer og netværk hurtigt og kunne reagere proaktivt på disse.
Sikkerhedspatches: Sikkerhedsopdatering til et it-system.
Whitelisting: Whitelisting er en liste med programmer, som på forhånd er positivt sikkerhedsgodkendt i virksomheden.