Risiko for kommune
Hjemstedet er en ganske gjennomsnittlig norsk kommune. Informasjonssikkerhet har ikke spesielt fokus i det daglige, men IT-avdelingen til kommunen har snakket en stund om at man burde gjøre en risikovurdering. Rådmannen er ansvarlig for informasjonssikkerheten i kommunen, og er den som skal ta avgjørelser når det gjelder hvor mye risiko man skal akseptere, og hvilke sikkerhetstiltak man skal prioritere, det vil si risikostyringen. Leder for IT-avdelingen tar imidlertid jobben med å starte arbeidet med risikovurderingen. Ansatte i administrasjonen og fagsystemene blir involvert sporadisk i arbeidet.
Innhold
Trusler
Flere trusler som kan ødelegge kommunens verdier kan identifiseres, som for eksempel:
- Uvedkommende får tilgang til sensitive opplysninger, for eksempel personopplysninger
- Nettsiden til kommunen blir angrepet og blir utilgjengelig i lengre tid.
- Ustyr blir stjålet, og noe informasjon går tapt.
- Flere PC-er blir angrepet av virus, og flere ansatte blir dermed hindret i arbeidet.
En vurdering av trusselen Uvedkommende får tilgang til sensitive opplysninger er påbegynt
Akseptabel risiko
Hjemstedet har ikke gjort dette tidligere og startet med tre nivåer. IT-avdelingen har vurdert hva de mener er akseptabel risiko, noe som ikke er tatt opp med rådmannen.
- Med stor risiko menes hendelser som skjer mer en to ganger i uken eller som gir betydelig tap av renommé. Rød farge er brukt, og det vurderes som ikke akseptabelt.
- Med moderat risiko menes hendelser som skjer mer en to ganger i måneden eller tap av renommé. Oransje farge brukes, og kommunen må ha oppmerksomhet på dette.
- Med lav risiko menes hendelser som skjer mer en to ganger i halvåret eller ubetydelig tap av renommé. Grønn farge benyttes, og risikoen aksepteres.
|
Sansynlighet |
||||
|
Sjelden |
Kan skje |
Svært vanlig |
||
|
Konsekvens |
Liten |
Lav |
Lav |
Moderat |
|
Middels |
Lav |
Moderat |
Stor |
|
|
Stor |
Moderat |
Stor |
Stor |
|
Konsekvenser
IT-avdelingen har vurdert hva de mener er mulige konsekvenser av av trusselen «Uvedkommende får tilgang til sensitive opplysninger». Noen mulige konsekvenser er:
- Dårlig publisitet, som igjen kan føre til dårlig tillit til kommunen. Dette kan gjøre det vanskeligere å samarbeide med andre.
- Noen i staben må gå.
- Brukere av kommunens tjenester kan være krenket.
- Kommunen må bruke ekstra penger på å beklage og rydde opp.
- Dersom det var anbudsinformasjon som ble oppdaget kan det føre til et mindre fordelaktig tilbud enn man ellers ville fått, eller hele prosessen må kjøres på nytt.
- Kommunen kan bli saksøkt.
- Datatilsynet kan komme og kreve dyre oppgraderinger.
Risikovurdering
Hjemstedet har startet med å vurdere risiko for virksomheten og tabellen nedenfor viser aktuelle risikoer. Gjennomgangen er ikke ferdigstilt.
Trussel: Uvedkommende får tilgang til sensitive opplysninger
|
# |
Årsaker |
Risikovurdering |
Mulige tiltak |
||||
|
Konsekvens |
Sansynlighet |
Risikonivå |
|||||
|
1 |
På grunn av den åpne holdningen i kommunen reagerer ikke ansatte på at uvedkommende går rundt på arbeidsplassen deres. Dette er vanlig, fordi besøkende ofte må lete seg frem selv. |
Stor
|
Svært vanlig
|
Stor
|
Opplæring av ansatte Vurdere låste dører på enkelte avdelinger eller kontorer
|
||
|
2 |
Ansatte kan bli lurt dersom noen ringer og sier at de jobber i en annen enhet og trenger opplysninger om en person. En kan også bli lurt ved at noen utga seg for å være fra IT-avdelingen, og ba om å brukernavn og passord. |
Stor |
Sjelden |
Moderat |
Opplæring av ansatte | ||
|
3 |
Egne ansatte kan ønske å spre sensitive opplysninger for egen vinnings skyld |
Stor |
Sjelden |
Moderat |
Opplæring av ansatte | ||
|
4 |
Uvedkommende kan bryte seg inn i datasystemet utenfra, enten på grunn av manglende sikring av nettverket, eller på grunn av sikkerhetshull i programmer kommunen bruker eller programmer ansatte har lastet ned på eget initiativ. |
Stor |
Kan skje |
Stor |
Beskyttelsen av selve nettverket skal bli bedre og mer helhetlig.
Systemer med sensitiv informasjon beskyttes bedre. Gjennomgang av tilganger til systemer |
||
|
5 |
Kommunen kan bli offer for generelle angrep (virus/ormer/ trojanere, jakt etter ressurser osv.) der sensitive data tilfeldigvis blir oppdaget og hentet ut. |
Stor |
Kan skje |
Stor |
Innstalleringer av sikkerhets-oppdateringer skal bli fast rutine |
||
