I Kalmar län samverkar tio kommuner och regionförbundet i informationssäkerhetsfrågor.
Nyhetsbrevet syfte är att sprida information till parterna. Tidigare nyhetsbrev hittar du här:
http://rfkl.se/sv/Verksamheter/IT_infosakerhet/Informationssakerhet/Nyhetsbrev/
Hoppas att ni har haft en lika fin sommar som jag och njutit av ledigheten. Jag hoppas också att ni klarat er från sommarens alla ID-kapningar, synat bedrägeriförsöken och inte gått på något av de allt mer sofistikerade mailen och bluffakturorna som ni kan läsa om i omvärldsbevakningen.
Spelat Pokém Go? Det har inte jag, men jag är förundrad över genomslaget, och ser både risker och stora vinster. Vi går en spännande framtid till mötes när det fiktiva möter det verkliga ! Vad händer i höst?
Nu har augusti passerat och det är full fart. Det sker många spännande aktiviteter denna höst, anställda i kommunerna kommer att erbjudas webbutbildning i informationssäkerhet och ett 60-tal personer kommer att utbildas genom en särskild lärarledd femdagars utbildning. Våra politiker och högre chefer inbjuds till strategiska rundabordssamtal till gagn för ledning och styrning med nationella gäster. Under oktober månad och tre år framåt finns möjligheten att avropa konceptet att öva en allvarlig IT-incident. Övningen omfattar hela krisledningsorganisationen och ger förutom goda kunskaper i informationssäkerhet även underlag för att upprätta en katastrofplan för IT.
Dessa insatser görs inom ramarna för det 3-årsprojekt som finansieras av MSB och som ägs av länsstyrelsen. Projektet avslutas i höst.
Utöver detta genomförs kontinuerliga möten där vi tillsammans arbetar med styrande dokument samt diskuterar processer och rutiner för informationssäkerhet. Under tidiga hösten kommer jag att besöka samtliga kommuner för att diskutera mål och insatser för den enskilda kommunen, detta som en del av planering för verksamhetsplan 2017 och 2018. Arbetet med KLASSA fortsätter i höst bland annat i Oskarshamn och Nybro. KLASSA är ett verktyg för klassificering och
upprättande av handlingsplan för informationssäkerhet, ett verktyg som kommunerna i samverkan med SKL utvecklat och utvecklar. Version två av KLASSA lanseras i höst.
Månadsbrev blir nyhetsbrev
Som ni kanske märkt var det ett tag sedan senaste månadsbrevet, vilket har sin förklaring i brist på tid och prioritering, men också i brist på substans, om de kommer för ofta blir de allt för lika. Därför byter jag ut månadsbrevet mot nyhetsbrev, vilket innebär att det kan komma mer sällan, eller oftare, och inte nödvändigtvis vid månadsskiftet. Ambitionen är att skriva cirka 7-8 nyhetsbrev per år.
Genomförda aktiviteter juni-augusti 2016
• LISbeth, samverkansmöte för utveckling av styrande dokument och processer
• KLASSA i Emmaboda kommun
• Möte med MSB
• NanoLearning, webbaserat lärande, leverantörsmöte med kommuner
• Planering för att öva en IT-katastrof
• RSA årlig rapport
• earkivdag
Informationssäkerhetssamordnare i din kommun
Nu har jag fått klart med vem som har fått uppdraget att ansvara för samordningen av informationssäkerhet i respektive kommun. Det innebär i praktiken att det är i första hand dessa personer som blir mina kontaktpersoner och som jag förväntas stödja, min samverkan med länets IT-chefer och IT-strateger fortsätter dock på samma sätt som tidigare.
Samordnare för informationssäkerhet i respektive kommun är:
Västervik Fredrik Carlsson Vimmerby Richard Duncranz Hultsfred Stefan Wittlock Högsby Fredrik Sandqvist Oskarshamn Lars Blomberg
Mönsterås Claus Kempe Kalmar Christina Karlberg
Nybro Peter Tinnert
Emmaboda Henrik Andersson Torsås Karina Haferbier
Även Landstinget och Ölandskommunerna har utsedda resurser, ingår dock ej i samverkan.
Grundkurs och fortsättningskurs i Informationssäkerhet
Informationssäkerhetssamordnare och andra roller med ansvar for informationssäkerhet och som förväntas ge andra stöd i kommunen erbjuds en bra grund- och
fortsättningsutbildning i informationssäkerhet. Om ni är nyfikna på dessa så finns de
publicerade på denna länk, http://rfkl.se/sv/Verksamheter/konferenser/ . Notera att ni bör stämma av er medverkan med er informationssäkerhetssamordnare då det bara finns tre platser per organisation. Kurserna genomförs vid två ställen, ett i norra och ett i södra länet.
Grundkurs
- 11-13 oktober på Skansen i Färjestaden - 18-20 oktober på Gränsö i Västervik
Fortsättningskurs
- 23-24 november på Skansen i Färjestaden
- 30 november till 1 december på Gränsö i Västervik
Kort rapport från nätverksträff med MSB och andra myndigheter
Myndigheten för samhällsskydd och beredskap har ett nätverk för informationssäkerhet där regioner, kommer och landsting ingår, men även myndigheter som datainspektionen och socialstyrelsen med flera. Jag har varit med i denna samverkan sedan starten vilket bidragit till många bra kontakter som jag dragit nytta av i mitt arbete. Vi träffades i juni och fick bland annat en dragning om hur MSB avser att hantera den sedan april i år obligatoriska
incidentrapporteringen för myndigheter. Läs om detta i rubrikerna nedan.
Myndigheters incidentinrapportering – info från MSB nätverksträff
Ett syfte med obligatorisk rapportering är att åstadkomma en samlad bild över aktuellt läge. Vi behöver öka samhällets förmåga att avvärja, begränsa och lära av inträffade händelser samt
återföra erfarenheter i förebyggande insatser. De drabbade myndigheterna har 24 timmar på sig att rapportera in händelsen, dock utan särskild djupgående innehåll. Initialt kom det in cirka fem rapporter i veckan indelade i kategorier som t.ex drift, angrepp och handhavande, åtkomst, infrastruktur etc. En händelse kan rapporteras in till flera kategorier. En fråga gällde
sekretessbestämmelserna vid utlämningsärenden där MSB menar att informationen omfattas av absolut sekretess, de menar att uppgifterna måste fredas och att det vid ett utlämnande riskerar att orsaka skada och förhöjd risk för samhällets säkerhet. Ett sådant ärende prövades i somras av kammarrätten som gav MSB rätt då en nyhetsbyrå ville ha ut rapporterna. Läs mer här:
http://www.dagensjuridik.se/2016/08/rapporter-om-it-attacker-mot-myndigheter-hemliga- nyhetsbyra-forlorar
Ny föreskrift i hälso- och sjukvården HSLF-FS 2016:40 – info från MSB nätverksträff Föreskriften gäller för all hälso- och sjukvård, även för kommunal vård och omsorg. Den beslutades i april och ska vara införd mars 2017. Författningen ersätter SOSFS 2008:14 som upphävs. Författningen har stor betydelse på informationssäkerheten i kommunen där kraven på ledningssystem, informationssäkerhetspolicy, riskanalyser och dokumentation är tydliga och att det ska utses ansvariga personer för samordning av informationssäkerheten. Här hittar ni den nya föreskriften: http://www.socialstyrelsen.se/Lists/Artikelkatalog/Attachments/20165/2016-4-44.pdf Även myndigheter har fått ny föreskrift MSBFS 2016:1 – info från MSB näverksträff
Även om föreskriften omfattar statliga myndigheter, så är den tillämpbar för de i kommunen som ansvarar för krisberedskapen. Föreskriften gäller från april i år och ersätter MSBFS 2009:10.
I 5§ är kravbilden solklar;
”Varje myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska tilldelas för informations- säkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen.”
Här finns föreskriften: https://www.msb.se/externdata/rs/b74a7b16-36a5-4de8-8f15- 1297c37f1324.pdf
Earkiv – vad händer nu?
Tidigare har ett länsgemensamt projekt om earkiv genomförts och som en del i det fortsatta arbetet genomfördes en informationsdag om earkiv i Oskarshamn.
Kommunalförbundet Sydarkivera berättade om arbetet med att skapa ett gemensamt arkivsystem.
Nuvarande anslutna är Alvesta, Ljungby, Lessebo, Karlshamn, Karlskrona, Markaryd, Ronneby, Tingsryd, Växjö, Älmhult och Region Blekinge. På väg in är Bromölla, Hässleholm,Höör, Kristianstad, Olofström, Osby, Oskarshamn, Vimmerby och Östra Göinge. Avsiktsförklaring har tecknats av Hörby och Åtvidaberg, det har även diskuteras hos ytterligare en kommun i Kalmar län. Sydarkivera har i januari 2017 inte mindre än 20 medlemmar, och ser ut att växa ytterligare.
Oskarshamn berättade om det mervärde de fått ut sedan de tecknat avsiktsförklaringen och hur de ser på att ingå i medlemskapet. Kalmar kommun berättade om deras planer med att skapa ett gemensamt pappersarkivet tillsammans med ett par kommuner och länsstyrelsen. Frågan om earkiv är viktig men tas först efter det att pappersarkivet är färdigbyggt.
Läs mer om Sydarkivera här: https://sydarkivera.se/
Utan spaning ingen aning!
Ygeman oroad av IT-hot i småkommuner
Inrikesminister Anders Ygeman (S) oroas av den aktuella frågan om IT-hot. Han tror att särskilt små kommuner är sårbara.
http://vlt.se/nyheter/omvarlden/1.4036800-ygeman-oroad-av-it-hot-i-smakommuner Har du koll på vem som mailar dig? Är det verkligen chefen?
Ett fejkat mail som såg ut att komma från en kommunal chef innehåll ett erkännande om tjänstefel i behandling av ett ärende. Men allt var bluff. Det var ett fejk-mejlet utifrån – vilket kunde göras utan dataintrång hos kommunen.
http://sverigesradio.se/sida/artikel.aspx?programid=114&artikel=6491946
Polisen går nu ut och varnar för så kallade vd-bedrägerier, alltså bedragare som utger sig för att vara höga chefer för att få anställda på ekonomiavdelningar att betala ut stora summor pengar.
Bara den senaste månaden har ett tio-tal fullbordade bedrägerier drabbat företag i Västernorrlands och Västerbottens län. http://www.svt.se/nyheter/lokalt/vasternorrland/flera-drabbade-av-vd- bedragerier
Är utdragen ur belastningsregistret äkta?
Om du är tjuv och vill ha ett fläckfritt förflutet så fanns tidigare möjligheten att köpa ett blankt belastningsregister utan besvärande anteckningar på nätet för 220 kronor. Kriminella kan alltså tvättas från gamla synder och visa upp fett fläckfritt förflutet för presumtiva arbetsgivare. Artikeln är läsvärd: http://www.gp.se/nyheter/g%C3%B6teborg/polisen-han-s%C3%A5lde-blanka-
belastningsregister-till-kriminella-1.3731277
Trots att vi lägger mer pengar på säkerhet ökar incidenterna
Virus, ransomware och ddos-attacker stå som spön i backen. Inte konstigt då att budgetarna för informationssäkerhet växer. I år väntas världens företag tillsammans spendera 700 miljarder kronor på produkter och tjänster som ska skydda dem från it-hoten. En ökning med 7,9 procent från förra året. http://computersweden.idg.se/2.2683/1.663195/fordelning-pengar-sakerhet Men lik f-b så drabbas enskilda, se exempel nedan:
Fejkad kärlek på nätet
Antalet anmälda bedrägeribrott har ökat med drygt 20 procent i år. Ett nytt tillvägagångssätt är att skapa en fejkad kärleksrelation via sociala medier och sen lura offret på pengar.
http://sverigesradio.se/sida/artikel.aspx?programid=93&artikel=6501147 Datorbedrägerier har ökat lavinartat – bestals på en kvart miljon
Datorbedrägerier har ökat kraftigt i år. I sex av tio fall handlar det om stulna kortuppgifter. Brotten är svåra att utreda eftersom det är många led som måste hinnas på en väldigt begränsad tid.
http://www.expressen.se/gt/datorbedragerier-har-okat-lavinartat/
En person blev av med 250 tkr efter att ha gått på en Microsoftbluff, - Hela datorn havererade när de ringde från vad jag trodde var Microsoft
http://www.svd.se/bestals-pa-kvarts-miljon-trodde-det-var-microsoft/om/naringsliv Många kommuner drabbas av porr i sociala medier
Det har dykt upp porrbilder på olika städers hashtags runt om i landet, vilket är svårt att skydda sig mot. Sociala medier bygger på öppenhet och delaktighet, enskilda ska kunna skriva och uttrycka sig, skapa debatt och påverka. Tyvärr missbrukas detta av då det under sommaren blivit vanligt med hashtags till oetiskt material. Det är svårt att skydda sig mot detta, det handlar ju inte om intrång, snarare om brist på respekt och att man inte följer reglerna. Drabbade är bland annat Varbergs, Nyköping, Norrköping och Växjö kommuner, säkerligen många fler.
http://sverigesradio.se/sida/artikel.aspx?programid=128&artikel=6497465 http://sverigesradio.se/sida/artikel.aspx?programid=91&artikel=6496700 Släkting kollade journal 60 gånger
Det är alldeles för enkelt för obehöriga att titta på patientjournaler. Det anser en person som kunnat se hur en släkting - anställd inom sjukvården men utan vårdansvar för honom - gått in i hans journal över 60 gånger.
http://sverigesradio.se/sida/artikel.aspx?programid=114&artikel=6496453
Filmat barn i kommunen får skadestånd
Kommunen ska betala 10 000 kronor i skadestånd efter att en förskolelärare filmat ett barn.
Förskolläraren filmade barnet när hen fick ett utbrott och hotade att visa filmen för barnets mamma. Personalen ska också ha använt hårt tonläge mot barnet.
http://sverigesradio.se/sida/artikel.aspx?programid=128&artikel=6468258 Använde kollegors konton vid planerat intrång i jornaler
En läkare åtalas bland annat för grovt dataintrång efter att olovligen ha tagit del av patientjournaler för 392 patienter. Läkaren kom åt journalerna genom att använda kollegers användarkonton. Hen skaffade sig också administratörsbehörighet och skapade nya konton. För att försöka
att inte bli upptäckt använde hen sig av så kallade VPN-tunnlar för säker dataöverföring.
http://www.lakartidningen.se/Aktuellt/Nyheter/2016/06/Atalas-for-intrang-i-patientjournaler/
Hörde om detta på mitt möte med MSB, plötsligt fick uttrycket ”läkare utan gränser” en helt ny innebörd ;-)
Utvalda aktiviteter september:
• ITIL utbildning i Oskarshamn, 6-8/9
• Planering informationssäkerhetsutbildning 9/9
• Nätverksträff för Sveriges kommuner, KIS 13/9
• Nationell informationssäkerhetskonferens, 14-15/9
• LISbeth, styrande dokument och processer 16/9
• KLASSA i Nybro och Oskarshamn 19/9 och 23/9
• eHälsa, digitalt stöd i hemmet 21/9
• LänsIT och exsam, 22/9
• Kommunbesök informationssäkerhet 26-30/9
Har du synpunkter eller förslag på innehåll i kommande månadsbrev så får du gärna höra av dig till mig.
Hälsningar Stephen
