952 97 000 hjelp@ddv.no

DDV Sikkerhetsteam

IT-sikkerhet er i dag så mye mer enn teknisk IT. Det tilbys teknologier for å løse de fleste utfordringer, men teknikk alene kan ikke løse alle problemene. Fokus fra myndighetene øker i forhold til planverk, og forskjellige revisjoner legger mer og mer vekt på kontroll av planverk og ROS. De siste års terrorhendelser og naturkatastrofer har også økt myndighetenes fokus på beredskapsplaner. Funksjon etter funksjon i samfunnet digitaliseres og effektiviseres, og gjør oss mer og mer sårbare dersom ikke IKT-systemene leverer som de skal i en krisesituasjon.

I skolen og samfunnet blir det mer og mer fokus på digital mobbing. Hvordan sikrer vi at IKT-systemene vi tilbyr elevene er designet og sikret på en måte som vanskeliggjør digital mobbing?

De siste måneders virusutbrudd i Mandal og Flekkefjord tydeliggjør at teknologi ikke er nok. Vi må bli mye flinkere på opplæring og holdningsskapende arbeid, både overfor ansatte og elever. Sikkerhet og brukervennlighet er ofte i hver sin ende av skalaen, og dersom ansatte ikke forstår hvorfor enkelte sikkerhetstiltak er nødvendig gjør de alt for å unngå å etterleve det.

DDV Drift har på bakgrunn av utfordringene beskrevet over startet arbeidet for å få etablert en gruppe som skal koordinere data- og informasjonssikkerhetsarbeidet. Gruppa består av medlemmer fra DDV-kommunene, samt interne ressurser.

Sakene som skal behandles handler i utgangspunktet ikke om teknikk, men mer om å få på plass nødvendige avtaler og tilrettelegge rutiner, i tillegg til holdningsskapende arbeid hos ansatte i kommunen.

DDV ønsker at hver kommune selv skal utpeke en data-/informasjonssikkerhetskoordinator som deltar i gruppen, og samtidig fungerer som en pådriver i egen kommune. Mye av arbeidet vil dreie seg om HR, men skole, tekniske- og beredskapsmessige forhold er også inkludert.

Intensjon og mandat

Intensjonen med sikkerhetsgruppen er å, på vegne av alle kommunene i DDV-samarbeidet, å jobbe for et felles rammeverk og avtaleverk innenfor IKT og sikkerhet. Sikkerhetsgruppen skal være en ressurs- og kompetansegruppe innen alle spørsmål rundt IKT-sikkerhet, herav også normen og personopplysningsloven.

Ansvaret for sikkerhet ligger hos et selskaps øverste leder, for kommunens del er det rådmannen. Dette ansvaret kan ikke fraskrives eller delegeres bort, men koordineringen kan overlates til andre. For å få en bedre ressurs- og kompetanseutnyttelse tror vi DDV kan være en viktig bidragsyter her. Sammen med sikkerhetskoordinatorer i hver kommune ønsker vi å etablere denne gruppen. DDV vil fasilitere arbeidet i hovedsak, men vil spille på gruppens medlemmer for å få nødvendig kunnskap og innsikt. Gruppens medlemmer blir også viktige for å få forankring i kommunene og vil fungere som en kravstiller overfor DDV. Det betyr at hoveddelen av ressursbruken blir i DDV, men de andre medlemmene må også påregne å bruke litt tid på dette. Intensjonen er at vi med denne gruppen skal oppnå bedre kvalitet på sikkerhetsarbeidet til en vesentligere lavere kostnad enn om hver enkelt kommune skal gjøre alt alene.

Mandatet blir dermed kort og godt å utforme de rammeverk, avtaleverk, sikringstiltak og opplæringstiltak som sikkerhetsgruppen har fått forankret i kommunene.  Det blir «DDV Sikkerhetsteam» sin oppgave å implementere tekniske løsninger, samt føre nødvendig kontroll med at tiltak og regler blir fulgt. DDV Sikkerhetsteam blir også en form for CERT (Computer Emergency Response Team), dvs de som har ansvaret for å følge opp hendelser som oppstår, slik som virusutbrudd, hackerforsøk, brudd på policyer, regelverk eller lovverk.

Oppstartsmøte for Sikkerhetsteamet

10.mai var det oppstartsmøte for sikkerhetsgruppen. Daglig leder i DDV, Odd-Lasse Worum, forklarte deltakerne om bakgrunnen og opprinnelsen til DDV Sikkerhetsteam, samt hvordan den er forankret i kommunene. Sammen med sikkerhetskoordinator fra DDV, Maahr Ludvig Eikeland, informerte han også om oppdraget til gruppen, og hva det er tenkt at den skal levere fremover.

Alle deltakerne fortalte kort om seg selv, deres forhold til datasikkerhet, hvordan de mener deres kommune ligger an i arbeidet, samt forventninger til gruppen.

DDV fungerer som tidligere nevnt som en fasilitator for gruppen, og skal koordinere arbeidet. I tillegg er det DDV sitt ansvar å løfte aktuelle saker og temaer, enten etter innspill fra medlemmer eller på eget initiativ. Tanken er at gruppen i utgangspunktet skal møtes fire ganger i året for å drøfte saker og temaer de skal fokusere på. For hver sak/tema skal det dannes mindre kompetansegrupper som ledes eller koordineres av DDV.

Konkrete oppgaver som skal prioriteres frem til neste møte

  • IKT-reglement og taushetserklæring – Lage felles avtaler, samt forsøke å lage et opplegg for håndtering av disse. Skal en nyansatt få utlevert passord før nødvendige avtaler er signert, m.m.
  • Brukeravtale for elever – Få på plass felles avtale, som både er juridisk holdbar, men samtidig så lett forståelig at både elever og foreldre kan forholde seg til den.
  • Sikring av gamle datarom – Sikre at gjenværende kommunikasjonsutstyr er akseptabelt sikret med hensyn til UPS, kjøling mm.
  • Databehandleravtaler – Hvilke lover og regler gjelder, og hva må til for å tilfredsstille dem? Må DDV ha databehandleravtale med alle kommunene?

Aktuelle temaer fremover

  • Beredskapsplaner – Koble DDV sin beredskapsplan opp mot kommunenes planer.
  • Elever og digital mobbing – Hvordan tilrettelegger og designer vi IT-systemene for å gjøre dette vanskelig?
  • Opplæringspakke for alle ansatte for å øke bevisstheten rundt virus og andre trusler.
  • Sikker utskrift – Info til ansatte på hvorfor løsningen er valgt, og hvordan den virker.

 

Deltakere i sikkerhetsteamet (fra venstre på bildet)

Trond Mathias Svindland, DDV
Maahr Ludvig Eikeland, DDV
Anne Lise Gullestad, Kvinesdal
Stine Andersen, Audnedal
Anne Lans Syvertsen, Lindesnes
Gunhild Vatne, Marnardal
Helen Talleraas, Farsund
Odd Helge Liestøl, Åseral
Erik Tronstad, Mandal
Odd-Lasse Worum, DDV
John Ivar Bjelland, Hægebostad
Leif Rune Evje, DDV (tok bildet)