Gå til indhold
Forsiden | Kontakt | Ledige job | For ansatte | Presse og nyheder | Web-TV | Besuchen Sie unsere deutsche Website Visit our English website |
Region Syddanmark logo, link til forsiden

5. Forslag til cybersikkerhedsindsatser

Roadmap for cybersikkerhed er et samlet forslag, der indeholder en række indsatser og planer for at at styrke Region Syddanmark cybersikkerhed. 

Nedenfor præsenteres et samlet forslag til handleplan (roadmap) med en række indsatser, der vurderes at bidrage til at styrke Regions Syddanmarks evne til at forudse, forebygge, opdage og håndtere sikkerhedshændelser inden for cybersikkerhedsområdet.

Det skal understreges, at initiativerne bygger ovenpå den lange række af aktiviteter, der er taget de seneste år. Mange af de foreslåede initiativer er således en fortsættelse og videreudvikling af indsatser, der allerede er sat i gang. Andre initiativer er en imødegåelse af den meget hurtige udvikling, der er i trusselsbilledet – vores indsats for fortsat at være med i kapløbet.

Herudover skal forslaget til indsatser ses i sammenhæng med de nationale initiativer, der blandt andet bliver igangsat som følge af den nationale sektorstrategi. Strategien og den tilhørende handleplan sikrer dermed, at der går en rød tråd fra de tidligere iværksatte initiativer til rækken af identificerede, nye initiativer i en samlet og målrettet indsats.

Forslaget til initiativer er opdelt efter om de styrker evnen til at forudse, forebygge, opdage eller håndterer sikkerhedshændelser. Der vil dog være flere initiativer, der bidrager til mere end én kategori.

5.1 Forudse

At forudse handler om, at regionen i højere grad skal være i stand til at forudse potentielle cybertrusler og hændelser. Det kræver varslingssystemer og viden om sårbarheder. Særligt i forhold til varsling og evnen til at forudse trusler, vil regionen have behov for et tæt samarbejde med eksterne parter (myndigheder og leverandører). Det er forventningen, at der i regi af Sundhedsdatastyrelsen over tid etableres en effektiv national koordination af varsler og et nationalt overblik over kritiske forretningsprocesser. De nationale initiativer skal følges op af en regional indsats, der sikrer varsling af sygehuse og de systemansvarlige

Desuden skal der laves løbende risikovurderinger af regionens mest kritiske forretningsprocesser og it-systemer. Og disse skal holdes op imod de nationale initiativer.

5.1.1 Forslag til initiativer

5.1.1.1 Anskaffelse af løsning til at it-understøtte håndteringen af sikkerhedshændelser (SIEM)

Formålet med initiativet er, at sikre at Region Syddanmark bliver i stand til at opdage kompromittering af systemer og netværk hurtigt og kunne reagere proaktivt på disse. Med et it-værktøj til at understøtte arbejdet gøres dette langt hurtigere og mere i overensstemmelse med best practice på området.

Brugen af SIEM-løsninger indgår som et element i sektorstrategien for sundhedsvæsenet, hvorfor der lægges op til at anvende løsninger, der ved behov kan kobles til eventuelle fælles tværgående løsninger.

  • Nuværende situation:
    Der gennemføres en foranalyse og anskaffelse af SIEM løsning inden udgangen af 2019.
  • Transition mod fremtidig situation:
    SIEM løsningen implementeres trinvist, startende i Regional IT for derefter at blive implementeret bredt i hele Region Syddanmark.

5.1.1.2 It-understøttelse af kontrol og ledelsesrapportering (GRC modul)

For at leve op til de stigende krav om dokumentation af kontroller og løbende ledelsesrapportering tages et nyt værktøj i brug, der it-understøtter procesarbejdet. GRC modulet giver mulighed for at automatisere risikostyringen og samtidig hæve governance niveauet omkring håndtering af sikkerhedshændelser betragteligt.

  • Nuværende situation:
    Region Syddanmark råder allerede over GRC modulet og formålet med initiativet er at udbrede brugen på tværs af regionen.
  • Transition mod fremtidig situation:
    Trinvis implementering af GRC modul startende med nogle få udvalgte områder, for herefter at udvide gradvist på baggrund af sikkerheds- og forretningsmæssig prioritering.

5.1.1.3 Whitelisting

Whitelisting øger sikkerheden, idet der kun kan downloades og installeres en række programmer, der på forhånd er sikkerhedsgodkendt. Whitelisting anbefales pt. af Rigsrevisionen og er ligeledes et indsatsområde inden for best practices for cybersikkerhed iht. de 20 kritiske områder, som er identificeret og beskrevet af det amerikanske forsvar (åbner i et nyt vindue) (#2 Inventory of Authorized and Unauthorized Software).

  • Nuværende situation:
    Siden Rigsrevisionen påpegede den manglende anvendelse af whitelisting, er der sket en opgradering af regionens pc-klienter til Windows 10. Med denne opgradering er adgangen til at installere applikationer lokalt blevet fjernet. Derved er risikoen for at skadelige programmer installeres af brugerne reduceret væsentligt. Hensynet til brugernes adgang til selv at kunne installere specialiserede programmer til eksempelvis forskningssamarbejde eller lokale printere betyder imidlertid, at det fortsat er nødvendigt med mulighed for at tildele adgang til at brugere kan installere applikationer på deres arbejdspc’er. Der er gennemføres derfor en analyse af IT-understøttelse af projekter og forskning i sidste del af 2019.
  • Transition til fremtidig situation:
    Der vil blive gennemført yderligere analyse og markedsafdækning af løsninger til at understøtte en fuld implementering af whitelisting. Implementeringen vil ske gradvist baseret på mindre tekniske afprøvninger (POC’er) for at sikre den bedst mulige proces for de af regionensmedarbejdere, som vil blive berørt af projektet.

5.1.1.4 Systematiske sårbarhedsscanninger

For at forudse mulige angreb er det nødvendigt at scanne netværket for sårbarheder. Det er nødvendigt at gøre dette løbende og systematisk på baggrund af kendte risici og konkrete trusler.

  • Nuværende situation:
    Der er igangsat et arbejde omkring gennemførelse af sårbarhedsscanninger af regionens ITinfrastruktur.
  • Transition mod fremtidig situation:
    Arbejdet med gennemførelse af sårbarhedsscanninger skal systematiseres og kobles til kendte trusler og trusselsvurderinger.

5.1.2 Økonomi og tidsramme for initiativer der styrker evnen til ”at forudse”

Investeringsbehovet til initiativerne i kategorien forudse ventes at udgøre 8,0 mio. kr. i strategiperioden.

Tidsplan for initiativerne:

Tidsplan for initiativerne

Aktivitet

Q3+4 2019

Q1+2 20

Q3+4 20

Q1+2 21

Q3+4 21

Q1+2 22

 Q3+4 22

SIEM: Foranalyse og anskaffelse

 

 

 

 

 

 

 

SIEM: Trinvis implementering

 

 

 

 

 

 

 

GRC modul: Anskaffelse

 

 

 

 

 

 

 

GRC modul: Trinvis implementering

 

 

 

 

 

 

 

Whitelisting analyse og markedsafdækning

 

 

 

 

 

 

 

Whitelisting tekniske test og tidlig implementering

 

 

 

 

 

 

 

Whitelisting fuld implementering

 

 

 

 

 

 

 

Systematiske sårbarhedsscanninger – gennemførelse af scanninger

 

 

 

 

 

 

 

Systematiske sårbarhedsscanninger – systematisering af scanninger

 

 

 

 

 

 

 

5.2 Forebygge

Forebyggelse af cyber- og informationssikkerhedshændelser sker dels i regi af det generelle informationssikkerhedsarbejde, og i cybersikkerhedsarbejdet.

Forebyggelsesindsatsen i informationssikkerhedsarbejdet retter sig bl.a. mod medarbejderadfærd og imod samspillet med leverandørerne (databehandleraftaler). Disse indsatser vil jf. fokus på cybersikkerhed ikke blive behandlet yderligere i denne strategi.

Forebyggelsesindsatsen i cybersikkerhedsarbejdet retter sig mod den tekniske sikring af sektorens systemer og it-infrastruktur - til mindst mulig gene for det daglige arbejde med itværktøjer.

Forebyggelsesindsatsen retter sig mere specifikt på følgende områder: Reduktion af kompleksitet, klassifikation af data, netværkssikkerhed, beredskabsplaner og standardiserede processer.

Reduktion af kompleksitet

For at kunne arbejde effektivt med forebyggelse er der brug for at reducere kompleksiteten i regionens IT landskab. Kompleksiteten skal reduceres ved fælles og struktureret registrering af og håndtering af udstyr, systemer og brugerrettigheder for både ansatte og eksterne samarbejdsparter.

Klassifikation af data

Digitalisering er afhængig af data og på sundhedsområdet, er det i særdeleshed følsomme oplysninger. Der skal derfor arbejdes systematisk med korrekt klassificering af data samt sikring af korrekt opbevaring og sletning, når der ikke længere er grundlag for at opbevare data.

Netværkssikkerhed

Netværkssikkerhed handler om at sikre proaktive sikkerhedsanalyser af trafikken på regionsnetværket, opdeling af netværk i mindre segmenter samt sikring af eksterne adgange til Region Syddanmarks netværk.

Beredskabsplaner

Beredskabsplaner bidrager til at data kan genskabes efter nedbrud, at backup procedurer og beredskabsplaner er dokumenterede, at alle kritiske risici for Region Syddanmarks drift er afdækket, at der løbende gennemføres test af, at it-miljøet kan genetableres i overensstemmelse med forretningens krav og forventninger samt at der også er tilstrækkelig sikring af de fysiske adgangsforhold til f.eks. serverrum m.v.

Standardiserede processer

Udover de nævnte indsatsområder er der behov for fokus på legacy-systemer (gamle systemer). Dette område indgår i sektorstrategien, hvor der lægges op til en landsdækkende kortlægning og risikovurdering heraf. Når denne foreligger, vil det være muligt at udvikle relevante initiativer på dette område.

5.2.1 Forslag til initiativer

5.2.1.1 Reduktion af kompleksitet

For at kunne arbejde effektivt med forebyggelse er der brug for at reducere kompleksiteten i regionens IT landskab. Kompleksiteten skal reduceres ved fælles og struktureret registrering af og håndtering af udstyr, systemer og brugerrettigheder for både ansatte og eksterne
samarbejdsparter.

5.2.1 Styring af aktiver (udstyr og systemer) 

Det er nødvendigt at sikre et opdateret overblik og kontrol med hvilke aktiver (pc’er, smartphones, tablets, servere, it-systemer mv.), der er registreret, og hvilke typer af forbindelser de har til øvrigt udstyr.

5.2.1.1 En opdateret oversigt/database (CMDB)

En opdateret CMDB, der samler og opretter information fra mange forskellige datakilder om hardware og applikationer, og hvordan de hænger sammen indbyrdes, og gør denne information tilgængelig ét sted, er afgørende for:

  • at identificere det udstyr og de applikationer der kobles til netværket
  • at understøtte en effektiv overvågning af netværket og trafikken herpå
  • at kunne sikre at alt udstyr og applikationer er opdateret med det nyeste antivirus og sikkerhedspatches
  • at understøtte reetablering af systemer og dermed understøtte it-beredskabet
     
  • Nuværende situation:
    Region Syddanmark råder i dag over en CMDB. Den blev oprindeligt anskaffet og sat i drift med henblik på anvendelse udelukkende som et rent teknisk værktøj og ikke anskuet som et bredt forretningsunderstøttende og forretningskritisk værktøj, der for alvor kan understøtte cybersikkerheden.
  • Transition til fremtidig situation:
    CMDB’en skal opdateres og opgraderes til at samle og oprette information fra mange forskellige datakilder om hardware og applikationer, og hvordan de hænger sammen indbyrdes, og gøre denne information tilgængelig ét sted. Dette vil ske som en trinvis proces (iterationer) med udgangspunkt i en sikkerhedsmæssig og forretningskritisk prioritering.

5.2.1.2 Brugerrettighedsstyring

Det er nødvendigt at sikre et opdateret overblik og kontrol med hvilke brugere der er registreret og hvilke rettigheder de har – dette gælder både interne brugere (ansatte i Region Syddanmark) og eksterne brugere (f.eks. konsulenter). Der foreslås følgende initiativer:

5.2.1.2.1 Udbygning af den fællesregionale brugeradministration (IdM)

Den eksisterende løsning tager afsæt i et begrænset antal integrationer til it-systemer (5). Med initiativet fremrykkes tilkoblingen af flere systemer til IdM. Dette med henblik på at øge it-sikkerheden. Tilkoblingen til IdM-løsningen bidrager til dette ved at give mulighed for at gennemføre opfølgning på brugeres adgange og rettigheder i tilkoblede systemer. Denne halvårlige recertificering skal ellers foretages manuelt og danner grundlag for at sikre, at de rette brugere har de rette adgange på rette tid.

  • Nuværende situation:
    Der er anskaffet en løsning til håndtering af Identity Management på tværs af regionen. Løsningen har fået navnet SydID. Integration mellem de første fem (primære) systemer afsluttes med udgangen af 2019.
  • Transition mod fremtidig situation:
    Frem mod udgangen af 2020 vil SydID blive implementeret bredt blandt regionens systemer.

Dermed bliver en ensartet brugeradministration og kontrol af adgange og rettigheder forenklet.

5.2.1.2.2 Ensretning af brugerrettighedsdatabasen (AD)

Regionens brugerrettighedsstyringsdatabase blev etableret i forbindelse med regionsdannelsen i 2006. Der er derfor behov for en opdatering og ensretning af værktøjet, så rettigheder og adgangen lever op til moderne standarder og best practice på området. Samtidig sikres fremadrettet løbende audit af AD, så eventuelle afvigelser enkelt opdages og håndteres.

  • Nuværende situation:
    Opdateringsprojektet er igangsat og en plan for opdatering og ensretning er under udarbejdelse.
    Der udarbejdes en hvidbog, som beskriver principperne for anvendelse af AD.
  • Transition frem mod fremtidig situation:
    Oprydning og ensretning gennemføres på baggrund af de principper, der er defineres i hvidbogen.
5.2.1.2.3 Øget sikring af brugere med administratorrettigheder

Behovet for øget sikring af brugere med administratorrettigheder skyldes, at disse er særligt udsatte for målrettede hackerangreb. Hackerne leder efter brugere med disse rettigheder, for med dem kan de komme videre ind i infrastrukturen og gøre større skade på organisationens systemer. Initiativet vil øge sikkerheden, i forhold til at forhindre uvedkommendes mulighed for at få adgang til kernen i de regionale applikationer og infrastruktur, samt adgangen til at tildele og ændre rettigheder for brugere.

  • Nuværende situation:
    Der har været gennemført en indledende analyse og markedsafdækning. Inden årsskiftet forventes sikkerheden omkring login at være øget for brugere med administratorrettigheder.
  • Transition mod fremtidig situation:
    Fortsat markedsafdækning, test og implementering af fuld løsning til sikring af brugere med administratorrettigheder.
5.2.1.2.4 Øget sikring af adgangen til internetbaserede services

Blandt regionens medarbejdere ses et stigende behov for mobilitet i opgaveløsningen. Flere opgaver løses tæt på borgerene, der hvor de er og samtidig er andre medarbejdere dybt involveret i forskningssamarbejder på nationalt og internationalt niveau, hvilket også medfører en vis rejseaktivitet. Der er derfor et behov for at kunne tilgå løsninger via internettet. Dette kan dog også udnyttes af hackere, hvorfor det er nødvendigt at etablere ekstra sikkerhedstiltag omkring løsninger, der kan tilgås fra internettet – f.eks. webmail.

  • Nuværende situation:
    Løsningerne er i dag beskyttet med adgangskontrol og er placeret bag regionens firewall.
  • Transition mod fremtidig situation:
    Der skal etableres en øget sikkerhed omkring adgangskontrollen og brugernes behov og adfærd skal undersøges med henblik på at implementere dette på en måde der understøtter deres arbejdsgang bedst muligt.
5.2.1.2.5 Fælles stamdata over medarbejdere og organisation (ASMO)

Anskaffelse og ibrugtagning af et system, der danner en oversigt over, hvilke medarbejdere, der er ansat hvor på tværs af regionen – herunder i forhold til medarbejdere, der arbejder i flere dele af regionen f.eks. på flere afdelinger/sygehuse og eventuelt i forskellige roller. Med initiativet sikres såkaldte autoritative stamdata om medarbejdere og organisation, så der stilles valide og opdaterede data til rådighed for andre systemer, og at vedligeholdelsen af disse data samlet set minimeres, samt at it-sikkerheden, hvad angår persondata, forbedres.

  • Nuværende situation:
    Projektet afsluttes med udgangen af 2019 og overgår til drift. Vedligeholdelsen af stamdata om medarbejdere og organisation er med ASMO-systemet i høj grad automatiseret og informationerne skal derfor kun vedligeholdes ét sted.
5.2.1.2.6 Understøttelse af projekt- og forskningsaktiviteter

En række medarbejdere på sygehusene har delt ansættelse i regionen og ved Syddansk Universitet. Deres opgaver består af enten udelukkende projektaktiviteter/forskning eller en kombination af klinisk arbejde og projektaktiviteter/forskning. Disse medarbejdere anvender oftest to eller flere pc'er samt muligvis andet "dobbeltudstyr" i kraft af deres ansættelse i begge organisationer. Initiativet skal afdække, hvordan regionen kan sikre, at medarbejderne får adgang til de nødvendige it-redskaber, uden at dette reducerer sikkerheden for regionen.

  • Transition mod fremtidig situation:
    Første fase af analysearbejdet igangsættes og afsluttes i 2019. Analysen har til formål at identificere de initiativer, der kan understøtte projekt- og forskningsaktiviteterne. Opfølgende analyser gennemføres i løbet af 2020.

5.2.1.3 Fælles forvaltning for PC klienter

Med henblik at reducere kompleksiteten i forhold til PC klienter foreslås at etablere en fælles forvaltning af PC klienter. Den fælles forvaltning skal understøtte sygehusene og øvrige enheders behov, og samtidig sikre et ensartet højt sikkerhedsniveau på klient-platformen. Fælles forvaltning af PC klienter giver en konsolideret platform til at lægge applikationer på pc’er (SCCM). Derudover defineres standard applikationspakker, der kan lægges på pc’erne.

Overordnet reduceres kompleksiteten ved at reducere i antallet af versioner for det enkelte softwaresystem og dertil reduceres antallet af pc-modeller, som medarbejderne kan vælge imellem.

  • Nuværende situation:
    Der er sket en vis ensretning og harmonisering af regionens PC klienter i forbindelse med den netop afsluttede opgradering til ”Windows10”.
  • Transition mod fremtidig situation:
    Der skal etableres en governance og fælles organisering omkring forvaltning af PC klienter i regionen. Herefter skal den fælles forvaltning af PC klienter implementeres. Samtidig skal antallet af forskellige PC modeller i regionen reduceres.

5.2.2 Ny digital identitet og signatur

Regionerne skal senest med udgangen af 2021 have taget nye elektroniske medarbejderidentiteter i brug, som erstatning for alle nuværende certifikater (OCES) samt have ændret de selvbetjeningsløsninger hvor borgerne brugere deres NemID i dag, da dette erstattes af MitID.

Dette sker for at leve op til nye fælleseuropæiske regler på området. Initiativet er allerede finansieret som ”skal” projekt, da det udspringer af økonomiaftalen for 2018.

  • Nuværende situation:
    Projektet er i gang og er i analysefasen.
  • Transition mod fremtidig situation:
    Anskaffelse og efterfølgende implementering forventet igangsat i januar 2020.

5.2.3 Håndtering af data

I sektorstrategien peges på at forebyggelsesevnen bl.a. øges ved at styrke de rette og tidsvarende tekniske foranstaltninger med henblik på at øge kapaciteten til at beskytte data og systemer.

5.2.3.1 Sikker opbevaring

Ansatte i Region Syddanmark anvender en række it-systemer i deres daglige arbejde. Disse systemer anvendes også til at umiddelbar håndtering af fortrolige og/eller følsomme oplysninger – f.eks. i Outlook. Der er derfor igangsat et initiativ vedrørende, sikker opbevaring af følsomme og/eller fortrolige oplysninger indtil disse journaliseres i de valgte journalløsninger; ESDH eller EPJ. Initiativet skal bistå med at it-understøtte oprydning i eksisterende data/ oplysninger og sikring af fremadrettet hjælp til de ansatte i håndteringen af oplysningerne – således at disse enten journaliseres eller slettes jf. regionens retningslinjer på området.

  • Nuværende situation:
    Der er gennemført en analyse af arbejdsgange og behov. Oprydning i eksisterende data/oplysninger er igangsat.
  • Transition mod fremtidig situation:
    Der skal foretages en afdækning af mulige løsninger til håndtering af fortrolige og/eller følsomme oplysninger indtil de journaliseres eller slettes. Herefter skal de nødvendige tekniske tiltag til fremadrettet hjælp til de ansatte i håndtering af oplysningerne implementeres.

5.2.4 Netværkssikkerhed

Netværkssikkerhed handler om at sikre proaktive sikkerhedsanalyser af trafikken på regionsnetværket, opdeling af netværk i mindre segmenter samt sikring af eksterne adgange til Region Syddanmarks netværk.

5.2.4.1 Lukning af åbne netværksstik

Formålet med projektet er at implementere en teknisk beskyttelse på netværket, der begrænser
adgangen hertil, når man tilslutter et device til et fysisk netværksstik. Den tekniske løsning skal bidrage til at sikre, at udenforstående ikke kan få adgang til Region Syddanmarks netværk.

  • Nuværende situation:
    Der er identificeret en teknisk standard, som vil være velegnet til at understøtte den øgede sikkerhed.
  • Transition mod fremtidig situation:
    Der skal foretages en række tekniske tests og afklaringer for at sikre at den beskyttelse, der indføres på netværket kun begrænser adgangen og uønskede devices. Herefter skal løsningen implementeres bredt i regionen.

5.2.4.2 Bedre udnyttelse af firewalls

Formålet med dette initiativ er dels undersøge konsekvenserne af nogle af de sikkerhedstiltag, der allerede er i dag er mulige med de firewalls og andre sikkerhedsværktøjer, som Region Syddanmark allerede råder over, samt ibrugtage så mange som muligt af disse sikkerhedstiltag.

For at slå yderligere sikkerhed til, er det nødvendigt først at gennemføre grundige analyser af, om sikkerhedstiltagene vil påvirke systemerne negativt – f.eks. medføre væsentligt længere svartider. Projektet igangsættes som en del af fase 2 af roadmap for Cybersikkerhed.

  • Transition mod fremtidig situation:
    Konsekvenserne af den mere restriktive anvendelse skal afdækkes for at sikre, at der ikke vil være væsentlige negative effekter heraf – f.eks. markant længere svartider. Herefter skal så mange at restriktionerne som muligt gennemføres.

5.2.4.3 Lukning af adgangen for ukendte enheder

Der etableres med initiativet en lukning af adgangen til regionens tjenester for ikke-kendte enheder. Det kan være brugeres private telefoner eller pc’er. Der vil fortsat være adgang til f.eks. mail via webmail. Lukningen gennemføres i november 2019.

  • Nuværende situation:
    Lukningen gennemføres i november 2019.

5.2.4.4 Opdeling af netværket – del 2

Den tekniske og fysiske løsning til opdeling af netværket (netværkssegmentering) er gennemført i foråret 2019. Med initiativet sker en yderligere underopdeling af netværket, herunder sikring af udvalgte centrale tjenester. Den tekniske løsning til dette er allerede på plads, men det er nødvendigt at foretage en analyse af konsekvenserne ved indførelse af fuld netværkssegmentering først, samt at iværksætte kompenserende tiltag, f.eks. ved længere svartider.

  • Nuværende situation:
    Den tekniske og fysiske løsning til opdeling af netværket (netværkssegmentering) er anskaffet i foråret 2019.
  • Transition mod fremtidig situation:
    Der foretages en analyse af konsekvenserne ved indførelse af fuld netværkssegmentering samt iværksættes kompenserende tiltag. Herefter kan fuld netværkssegmentering implementeres.

5.2.5 Brug af standardiserede processer på sikkerhedsområdet (ITIL)

Information Technology Infrastructure Library (ITIL) er et sæt standardiserede processer for best practise indenfor drift af IT. ITIL processerne anvendes allerede i dag i forbindelse med drift af IT i Region Syddanmark, men de specifikke processer der relaterer sig til sikkerhedsområdet er endnu ikke implementeret. Formålet med dette initiativ er at implementere disse processer i Region Syddanmark. Det vil bl.a. betyde at incidents (hændelser) og changes (ændringer), der har betydning for sikkerheden, håndteres efter en særlig procedure, der bl.a. sikrer hurtig opfølgning og eskalering, hvis det er nødvendigt. Dette er en forudsætning for, at Region Syddanmark kan reagere hurtigt – og også proaktivt – på trusler og sikkerhedsbrud.

  • Transition mod fremtidig situation:
    Anvendelse af ITIL til it-sikkerhedsformål planlægges afdækket i anden halvdel af 2020 og implementeres efterfølgende.

5.2.6 Økonomi og tidsramme for initiativer der styrker evnen til ”at forebygge”

Investeringsbehovet til initiativerne i kategorien forebygge ventes at udgøre 12,0 mio. kr. i strategiperioden. Dog bemærkes at initiativ 5.2.2. Ny digital identitet og signatur, er finansieret jf. Digitaliseringsstrategien.

 

Tidsplan for initiativerne:

 

Aktivitet

Q3+4 2019

Q1+2 20

Q3+4 20

Q1+2 21

Q3+4 21

Q1+2 22

 Q3+4 22

CMDB analyse

 

 

 

 

 

 

 

CMDB iterationer

 

 

 

 

 

 

 

Udbygning af den fællesregionale brugeradministration (IdM)

 

 

 

 

 

 

 

Ensretning af brugerrettighedsdatabasen (AD) analyse

 

 

 

 

 

 

 

Ensretning af brugerrettighedsdatabasen (AD) gennemførsel

 

 

 

 

 

 

 

Øget sikring af brugere med administratorrettigheder – indledende sikring

 

 

 

 

 

 

 

Øget sikring af brugere med administratorrettigheder – fortsat markedsafdækning og øget sikring

 

 

 

 

 

 

 

Øget sikring af adgangen til internetbaserede services – analyse og markedsafdækning

 

 

 

 

 

 

 

Øget sikring af adgangen til internetbaserede services – implementering

 

 

 

 

 

 

 

Fælles stamdata over medarbejdere og organisation (ASMO)

 

 

 

 

 

 

 

Understøttelse af projekt og forskningsaktiviteter

 

 

 

 

 

 

 

PC Klienter: Fælles governance

 

 

 

 

 

 

 

Implementering af Fælles forvaltning af PC klienter

 

 

 

 

 

 

 

Ny digital identitet og signatur - analyse

 

 

 

 

 

 

 

Ny digital identitet og signatur – anskaffelse og implementering

 

 

 

 

 

 

 

Sikker opbevaring - analyse og oprydning

 

 

 

 

 

 

 

Sikker opbevaring - afdækning af løsninger og implementering

 

 

 

 

 

 

 

Opdatering af beredskabsplaner – fokus på mindre systemer

 

 

 

 

 

 

 

Opdatering af beredskabsplaner – dokumentation og test af beredskabsplaner

 

 

 

 

 

 

 

Lukning af åbne netværksstik – tekniske test og afklaringer

 

 

 

 

 

 

 

Lukning af åbne netværksstik – implementering

 

 

 

 

 

 

 

Sikker opbevaring - afdækning af løsninger og implementering

 

 

 

 

 

 

 

Opdatering af beredskabsplaner – fokus på mindre systemer

 

 

 

 

 

 

 

Opdatering af beredskabsplaner – dokumentation og test af beredskabsplaner

 

 

 

 

 

 

 

Lukning af åbne netværksstik – tekniske test og afklaringer

 

 

 

 

 

 

 

Lukning af åbne netværksstik – implementering

 

 

 

 

 

 

 

Bedre udnyttelse af firewalls - Konsekvensanalyse

 

 

 

 

 

 

 

Bedre udnyttelse af firewalls – Gennemførsel

 

 

 

 

 

 

 

Lukning af adgangen for ukendte enheder

 

 

 

 

 

 

 

Brug af standardiserede processer på sikkerhedsområdet (ITIL) - analyse

 

 

 

 

 

 

 

Brug af standardiserede processer på sikkerhedsområdet (ITIL) - Implementering

 

 

 

 

 

 

 

Opdeling af netværket – del 2 - Konsekvensanalyse og mitigerende tiltag

 

 

 

 

 

 

 

Opdeling af netværket – del 2 – Fuld implementering

 

 

 

 

 

 

 

5.3. Opdage

Regionen skal kunne fange mistanke om sikkerhedsbrud og hændelser hurtigt og effektivt.

Region Syddanmarks it-landskab er stort og komplekst Der gennemføres hver dag en omfattende udveksling af data mellem de mange systemer. Mange både ansatte og leverandører er hver dag inde og registrere data, læse data eller vedligeholde systemerne. Effektiv, proaktiv og tidstro overvågning af aktivitet på netværk og systemer er derfor afgørende for at kunne opdage aktuelle angreb og hændelser med risiko for sikkerheden.

Derfor skal vi kunne analysere de omfattende logs om trafik i systemer og netværket, og opdage forkert adfærd. Kunstig intelligens er et blandt de værktøjer der kan anvendes for f.eks. at analysere og opdage unormal adfærd på netværk, i systemer og på udstyr.

Det foreslås, at der med henblik på understøttelse af de denne opgave tages følgende initiativ:

5.3.1 Monitoreringsværktøj af netværkstrafikken

Med initiativet søges anskaffet og ibrugtaget et værktøj, der kan etablere et ”normalbillede” af trafikmønstret i regionens netværk med henblik på at genkende afvigende og unormal trafik, således at potentielle trusler og angreb mod regionen opdages i realtid.

  • Nuværende situation:
    Der er identificeret et behov for anskaffelse af monitoreringsværktøj.
  • Transition mod fremtidig situation:
    Der skal foretages en behovsanalyse og markedsafdækning. Herefter skal værktøjet anskaffes og implementeres.

5.3.2 Økonomi og tidsramme for initiativer der styrker evnen til ”at opdage”

Investeringsbehovet til initiativet i kategorien opdage ventes at udgøre 9,0 mio. kr. i strategiperioden.

 

Tidsplan for initiativet 

Aktivitet

Q3+4 2019

Q1+2 20

Q3+4 20

Q1+2 21

Q3+4 21

Q1+2 22

 Q3+4 22

Monitoreringsværktøj: Behovsanalyse og markedsafdækning

 

 

 

 

 

 

 

Monitoreringsværktøj: Anskaffelse og implementering

 

 

 

 

 

 

 

5.4 Håndtere

Når en sikkerhedshændelse opdages gælder det om hurtigst muligt at afgrænse og begrænse skaden. Dette skal bl.a. gøres rent teknisk, så selvom en hacker skulle komme forbi de første barrierer, så kan denne ikke komme videre rundt i regionens netværk. Desuden skal der samarbejdes nationalt for lynhurtigt at kunne give besked om hændelser, regionerne imellem. Dette skal desuden trænes gennem beredskabsøvelser.

Det foreslås, at der med henblik på understøttelse af de regionale opgaver tages følgende initiativer:

5.4.1 Fælles styring og ensrettet håndtering af it-værktøjerne til procesunderstøttelse

Regionen anvender en række forskellige moduler, der benyttes til at it-understøtte proces og hændelseshåndtering i regionen. Med dette initiativ sikres fælles styring og ensrettet håndtering af modulerne i procesværktøjet Service Now.

  • Nuværende situation:
    Der anvendes pt. en række forskellige moduler til håndtering af it-hændelser. Det gælder både almindelige forespørgsler (requests), hændelser (incident), rapportering (PPM) med flere.
  • Transition mod fremtidig situation:
    Der etableres med udgangen af 2019 en enstrenget organisering af ansvaret for processerne omkring ServiceNow.

5.4.2 Integration mellem sårbarhedsskanninger og ITSM-modul

Aktuelt er der ikke en direkte integration mellem de værktøjer, der finder sårbarheder i regionens infrastruktur og den løsning, der anvendes til registrering af sårbarhederne. En opgradering og etablering af integration, vil automatisere arbejdsgangen og dermed reducere risikoen
for dobbeltarbejde og fejl.

  • Nuværende situation:
    Der sker i dag en manuel registrering af sårbarheder.
  • Transition mod fremtidig situation:
    Der etableres en opgradering og integration mellem løsningerne.

5.4.3 Beredskabsplaner

Initiativet har til formål at bidrage til at data kan genskabes efter nedbrud, at backup procedurer og beredskabsplaner er dokumenterede, at alle kritiske risici for Region Syddanmarks drift er afdækket, at der løbende gennemføres test af, at it-miljøet kan genetableres i overensstemmelse med forretningens krav og forventninger samt at der også er tilstrækkelig sikring af de fysiske adgangsforhold til f.eks. serverrum mv. Dette arbejde er allerede gennemført de større systemer i regionen. Men da bl.a. it-revisionen har stort fokus på dette, er det vigtigt at det kommer til at omfatte samtlige systemer – dvs. også de mindre systemer.

  • Nuværende situation:
    Dette arbejde er allerede gennemført de større systemer i regionen. Der pågår aktuelt en planlægning i dialog med systemejerne om sikring af beredskabsplaner for de mindre systemer.
  • Transition mod fremtidig situation:
    Udarbejdelse af beredskabsplaner for mindre systemer. Dokumentation og test af beredskabsplaner.

5.4.4 Udbygning af årshjul med cybersikkerhed

Aktuelt er der etableret et årshjul for informationssikkerhed. Dette bør udbygges til også at omfatte cybersikkerhedsaktiviteter i Region Syddanmark. Herunder årlige test af cybersikkerheden blandt andet penetrationstest, test af beredskab og beredskabsplaner mv.

  • Nuværende situation:
    Der er gennemført flere interne sikkerhedsøvelser. Endvidere er der i 2019 gennemført en ekstern test af cybersikkerheden i Region Syddanmark. Denne gentages med udgangen af 2019.
  • Transition mod fremtidig situation:
    Der etableres et årshjul med plan for de nødvendige aktiviteter.

5.4.4 Økonomi og tidsramme for initiativer der styrker evnen til ”at håndtere”

Investeringsbehovet til initiativet i kategorien håndtere ventes at udgøre 1,0 mio. kr. i strategiperioden.

 

Tidsplan for initiativerne

Aktivitet

Q3+4 2019

Q1+2 20

Q3+4 20

Q1+2 21

Q3+4 21

Q1+2 22

 Q3+4 22

Fælles styring og ensrettet håndtering af it-værktøjerne til procesunderstøttelse

 

 

 

 

 

 

 

Integration mellem sårbarhedsskanninger og ITSM-modul

 

 

 

 

 

 

 

Udbygning af årshjul med cybersikkerhed

 

 

 

 

 

 

 

 


Siden er sidst opdateret 21-07-2020
Kontakt Region Syddanmark

Region Syddanmark | Tlf: 76 63 10 00 | CVR nr. 29190909 | Skriv til Regionen | Om hjemmesiden | Sitemap | Tilgængelighedserklæring