Data og cybersikkerhed er kodeordene, når du skal vedligeholde dine it-systemer

Danmark har potentialet til at blive verdens mest datadrevne samfund og samtidig sætte standarden for ansvarlig dataanvendelse på globalt plan. I en tid, hvor enorme datamængder bliver genereret, registreret, opbevaret, udnyttet og nogle gange misbrugt i alle tænkelige former, står det desuden klart, at vores tilgang til data er af afgørende betydning for vækst og velfærd. 

Hvis du vil vide mere om data, kan du læse vores white paper: Den datadrevne stat

Mange virksomheder, kommuner og statslige instanser står over for betydelige udfordringer med it-løsninger, der halter bagud, både når det kommer til funktionalitet og ikke mindst sikkerhed - samtidig skal de opfylde stadigt stigende krav om effektivitet eller håndtering af digitale opgaver med større datakompleksitet.

Desuden er datasikkerhed langt fra altid tænkt ind i løsningerne fra starten, hvilket understreger, at genopbygning og vedligeholdelse er en nødvendig og samfundsvigtig opgave.

Fundamentet for den danske digitalisering er data

Processen med at skabe et vellykket moderniseringsresultat inden for data og infrastruktur, omfatter flere elementer, men udgangspunktet er, at man klassificerer sine data og planlægger brugen af sine ressourcer benhårdt.

“Ligeledes er det afgørende, at sikkerhed tænkes bredt, så du ikke kun adresserer den direkte eksterne cybertrussel men alle forhold, der kan true din forretning. Med ældre systemers manglende fokus på delegering af ansvar kan interne trusler eksempelvis udgøre et højrisikoområde,” siger Peter Grostøl, Principal Enterprise Architect i KMD.

Et andet eksempel er manglende verificerede 'recovery-mekanismer' i ældre løsninger, der kan gøre truslen fra ransomware mere alvorlig end ellers. Det hjælper ikke meget, at du har taget backup, hvis du ikke har en it-katastrofeplan, som beskriver hvordan du reelt får dit systemlandskab op at køre igen. 

Heldigvis har vi endnu til gode at se de store sager, hvor særligt personfølsomme data er blevet stjålet og misbrugt i stor skala. Der har været eksempler på misbrug af identiteter, eksempler på interne personer, der har udnyttet deres systemadgang, og så en lang række sager, hvor enkelte borgeres data ved en fejl er blevet gjort tilgængelige, fx på en hjemmeside eller på en medarbejder-PC, der er bortkommet og som ikke har været tilstrækkeligt beskyttet.

“Disse sager er alle meget alvorlige og viser, hvor kritisk det er, selv når der kun er tale om få borgere eller menneskelige fejl. Derfor er det også ekstremt vigtigt, at vi bruger disse eksempler til at forstå, hvad det er for en værdi, vi beskytter, og hvor kritisk den er,” siger Peter Grostøl.

Hele fundamentet for den danske succeshistorie om skabelsen af et digitalt samfund bygger på adgang til data. Denne adgang er baseret på, at vi som borgere eller ansatte, tillidsfuldt deler vores data med det offentlige, enten direkte eller fx gennem vores bank, forsikringsselskab eller læge.

Vi indgår en ‘kontrakt’, hvor vi hver især hjælper det offentlige og dermed os selv til at være mere effektive og digitale, til gengæld for et løfte om, at vores data vil blive behandlet fortroligt og forsvarligt.

Risikovurderingen for persondata i offentlige it-systemer skal derfor tage udgangspunkt i selve fundamentet for vores digitaliseringsstrategi, og den værdi, vi beskytter, kan ikke overvurderes. Vi kan blot kigge på andre lande, hvor borgeren ikke stoler på det offentlige, og se hvordan det historisk har sat en stopper for deres digitalisering.

Dit forløb afhænger naturligvis af dit udgangspunkt, dog vil følgende tre elementer naturligt indgå.

Modenheds- og risikovurdering: Et godt sted at starte er med en omfattende modenheds- og risikovurdering for at identificere potentielle trusler og sårbarheder i de eksisterende it-systemer. Med sådan en vurdering kan du definere den risikoappetit, der skal danne grundlag for vigtigheden af dine data. God og sikker klassificering af dine data er fundamentet for, at din løbende vedligeholdelse og modernisering har det rette fokus.

Du skal ligeledes definere it-systemets (for)mål for at opbygge en plan og ramme den rigtige prioritering af opgaver og ressourcer, så du bruger dine penge, hvor de gør størst gavn.
En moderniseringsplan bør tage udgangspunkt i en porteføljestrategi, der dels belyser systemlandskabet ud fra en forretningsmæssig vurdering (i hvor høj grad en given løsning kan understøtte forretningsstrategien) samt en teknisk vurdering.

Løsningsmodeller: Her er det vigtigt at forstå, at teknik ikke kun handler om alderen på programmeringssproget eller versionsnummeret på serveren. Den tekniske vurdering handler fx. i høj grad også om sikkerhed.

Vurder om løsningen bygget på en måde, så den sikkerhedsmæssigt kan videreføres og anvendes i forhold til den risikovurdering, der er foretaget, og de sikkerhedsværtøjer og -procedurer, som enten allerede er implementeret eller som I planlægger at implementere. Af samme grund er sikkerhed en nøgleparameter, der indgår såvel under en teknisk som en forretningsmæssige vurdering af et IT-system.

KMD’s moderniseringsservice tager udgangspunkt i en model, hvor de relevante parametre som fx. bæredygtighed, sikkerhed, robusthed og ‘recovery’ indgår, og derved hjælper med at fokusere og prioritere moderniseringsrejsen, ligesom den anviser konkrete værktøjer og teknikker.

Uddannelse og bevidsthed: Uddan dine medarbejdere og dit personale i sikkerhedsprocedurer. Skab bevidsthed om trusselslandskabet og hav en langsigtet strategi, der fokuserer på at oparbejde en sund og stærk intern, sikkerhedskultur

Vælger du eksterne leverandører eller cloud-løsninger kan opgaverne i de næste punkter være outsourcet. Husk dog stadig på, at ledelsen i din virksomhed ikke kan outsource det endelige ansvar.

Opdateringer og patches: Det lyder måske som en triviel og banal opgave. Men manglende opdateringer af it-systemer er en af de største trusler mod datasikkerheden. Sørg for at bygge en model, hvor alle systemer og software altid bliver opdaterede med de seneste sikkerhedsrettelser og patches.

Stærk adgangskontrol: Implementer streng adgangskontrol for at begrænse, hvem der har adgang til følsomme data og systemer. Det handler ikke kun om udefrakommende trusler, for medierne beretter jævnligt om tilfælde af intern ’snagen’ fra ansatte, der udnytter deres adgangskriterier.

Datakryptering og backup: Anvend kryptering for at beskytte data under overførsel og opbevaring. Sørg for backup-planlægning – både offline og online så data kan genskabes og bringes tilbage i drift i tilfælde af nedbrud eller angreb.

Kontinuerlig overvågning og evaluering: Overvåg konstant systemerne for unormal aktivitet og udfør regelmæssige sikkerhedsevalueringer.

“På den lidt længere bane kan både offentlige og private virksomheder med fordel udveksle viden og dele erfaringer for derved at øge cybersikkerheden. På den måde kan vi gennem en fælles indsats styrke datasikkerheden og fastholde borgernes og virksomheders tillid til offentlige eller andre digitale tjenester,” vurderer Peter Grostøl.

Du er også velkommen til at kontakte KMD for råd og vejledning til din moderniseringsproces. Vi har mere end 50 års erfaring med håndtering af store it-projekter og -løsninger.