Stockholms läns landsting 2015 -08

Stockholms läns landsting
Landstingsstyrelsens förvaltning
SLL Informationssäkerhet
SLL IT
TJÄNSTEUTLÅTANDE
2015-08-03
LS 1404-0549
Ankom
Stockholms läns landsting
Handläggare:
Vesna Lucassi
Landstingsstyrelsens
innovationsberedning
2015 -08- 1 1
Utredning av central teknisk lösning för att upptäcka
avvikelser och potentiella hot i landstingets nätverk
och kritiska IT-system
Ärendebeskrivning
Lanstingsstyrelsen gav i april år 2014 landstingdirektören i uppdrag att
utreda en central teknisk lösning för att upptäcka avvikelser och potentiella
hot i landstingets nätverk och kritiska IT-system. I detta ärende redovisas
resultatet av denna utredning.
Beslutsunderlag
Tillförordnande landstingsdirektörens tjänsteutlåtande den 3 augusti 2015
Teknisk rapport Förstudie - Central teknisk lösning för att upptäcka
avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system rapporten finns att tillgå hos LSF kansli.
Förslag till beslut
Innovationsberedningen föreslår arbetsutskottet föreslå landstingsstyrelsen
besluta
att godkänna utredningen
att uppdra åt landstingsdirektören att implementera central teknisk lösning
för att upptäcka avvikelser och potentiella hot i landstingets nätverk och
kritiska IT-system enligt med tillförordnade landstigsdirektörens
tj änsteutlåtande
att genomförandet sker inom ramen för fastställd budget.
Förvaltningens förslag och motivering
Sammanfattning
Stockholms läns landsting står inför stora satsningar både inom trafik och
vård med höga krav på informations- och IT-säkerhet. För att uppnå satta
mål behöver landstinget successivt öka sin IT-säkerhet. Landstingsstyrelsen
Hemlig
Dessa handlingar
är sekretessbelagda
enligt 18 kap 8 §
punkt 3 i
offentlighets- och
sekretesslagen
(2009:400)
Stockholms läns landsting
2(5)
TJÄNSTE UTLÅTANDE
2015-08-03
gav i april år 2014 landstingdirektören i uppdrag att utreda central teknisk
lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk
och kritiska IT-system. Efter utredning föreslås nu en sådan lösning samt
att den implementeras.
Bakgrund
Stockholms läns landsting står inför stora satsningar inom områdena trafik
och vård. För att uppnå satta mål behöver landstinget successivt öka sin
IT-säkerhet. Landstingsstyrelsen gav i april år 2014 landstingdirektören
flera uppdrag gällande kort- och långsiktiga lösningar för att stärka
IT-säkerheten, LS 1311-1456. Ett av dessa var att utreda central teknisk
lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk
och kritiska IT-system.
Överväganden
Det finns idag inom landstinget olika slags logg- och larmsystem för
IT-system och nätverfeinfrastruktur. Exempel är logganalys-verktyg som
skapats för att uppfylla patientdatalagen och kraven på åtkomstkontroll,
larmsystem för administrativa åtgärder, anslutningsloggar, viruslarm,
intrångsdetektering etcetera. Ett centralt system för insamling och
korrelering av olika slags loggar i syfte att ytterligare stärka IT-säkerheten
som helhet saknas dock.
Ur ett IT-säkerhetsperspektiv är det mest fördelaktigt att på ett automatiskt
sätt kunna samla in information från loggar för kritiska IT-system för att
vid en senare tidpunkt kunna analysera den. Detta i syfte att i efterhand
kunna utreda incidenter men även för att kunna skapa larmnivåer utifrån
analyser av insamlad nätverkstrafik. Den överblick som en samlad process
skulle kunna ge skapar nya möjligheter till effektiva prioriteringar utifrån
verksamheternas behov och stärka IT-säkerheten.
I utredningen har nuläget analyserats utifrån olika slags oönskade
händelser, såsom exempelvis obehörig åtkomst till IT-system och
nätverksmiljöer, skadlig kod, externa angreppsförsök, utnyttjande av
sårbarheter i servrar etcetera. Möjligheterna att detektera och i efterhand
analysera oönskade händelser i den befintliga loggningen har utretts.
Såväl tekniska som juridiska förutsättningar har utretts och förvaltningen
konstaterar att en implementering är möjlig att genomföra.
I syfte att ytterligare öka säkerheten för i första hand kritiska IT-system
och nätverksmiljöer samt öka förutsättningarna att kunna förebygga och
hantera oönskade IT-säkerhetsrelaterade händelser på ett effektivt sätt
LS 1404-0549
Stockholms läns landsting
3(5)
TJÄNSTEUTLÅTANDE
2015-08-03
föreslås att en central teknisk lösning implementeras för att upptäcka
avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system.
En sådan lösning är inte tänkt att ersätta dagens olika loggsystem, utan
snarare komplettera landstingets befintliga lösningar. Det är framför allt
aktuellt att samla in information gällande in- och utloggningar i kritiska
IT-system. Loggar som exempelvis hanterar vem som har läst vilken
patientjournal, kommer även fortsättningsvis behöva hanteras i separata
system, till exempel SALA . För att få ett bra upplägg på larmhantering
kopplat till loggar föreslås att arbetet först inriktas på att samla in loggar i
ett centralt logghanteringsverktyg.
1
En central teknisk lösning i tre delar föreslås innehålla:
• system för central logghantering för centrala säkerhetskomponenter,
plattformar och kritiska IT-system i landstingets nätverk
• system för automatisk sårbarhetsskanning av kritiska IT-system inom
landstinget
• system för att hantera och korrelera larm kring IT-säkerhetshändelser,
ett så kallat SIEM-system, security information and event management
Den första delen, automatisk logganalys, är tänkt att kunna detektera och
larma för incidenter och överträdelser i nätverksmiljön. System som
bedömts aktuella att samla in loggar för under kategorin nätverk är
säkerhetskomponenter som brandvägg, olika proxy-funktioner,
anti-viruslösningar med mera samt statistik över nätverksflöden från
komponenter i nätverket. Förslagsvis ansluts centrala säkerhetskomponenter såsom brandväggar och antivirus först, varefter andra kritiska
IT-system ansluts efter hand.
Den andra delen innebär implementering av system för sårbarhetsanalys/
sårbarhetsskanning. Förvaltningen föreslår att så kallad passiv
sårbarhetsskanning används för tillgänglighetskritiska servrar och
nätverksenheter. Aktiv sårbarhetsskanning bör användas för andra slags
system.
Den tredje delen innebär implementering av ett system för att analysera
och korrelera larm kring IT-säkerhetshändelser, en så kallad SIEM-lösning,
security information and event management. En sådan lösning
tillhandahåller realtidsanalys av säkerhetsrelaterade händelser och kan
generera högprioriterade larm genom att korrelera lägre prioriterade
varningar eller information från olika system. Under ett angrepp behöver
SALA, Systematisk automatiserad logganalys, är ett IT-hjälpmedel inom e-hälsa för att
granska loggade journalöppningar i journalsystemet TakeCare.
1
LS 1404-0549
Stockholms läns landsting
4(5)
TJÄNSTE UTLÅTANDE
2015-08-03
ofta flera olika datakällor kombineras för att kunna ge information om vad
angriparen har gjort och vilken skada som skett.
Implementering av en central teknisk lösning föreslås ske stegvis. Principen
föreslås gälla att central logginsamling först finns på plats och erfarenheter
tillvaratas från denna innan SIEM-funktionalitet implementeras. Mot
denna bakgrund föreslås följande stegvisa införande:
Under år 2015 föreslås att central logginsamling kravställs. Under år 2016
föreslås att central logginsamling implementeras utifrån framtagen
kravställning i enlighet med vad som framgår av utredningen. Det föreslås
att centrala säkerhetskomponenter såsom brandväggar och antivirus
ansluts först. Övriga prioriterade IT-system ansluts sedan efter hand.
Vidare förslås även att kravställning utförs gällande system för
sårbarhetsskanning samt system för att analysera och korrelera larm kring
IT-säkerhetshändelser, SIEM. Kravställning bör utgå från nyckeltal kring
loggvolymer och andra detaljer som identifieras under implementation av
central logginsamling. Under år 2017 föreslås slutligen att
sårbarhetsskanning och SIEM-lösning implementeras utifrån den
kravställning som tagits fram under år 2016.
Förvaltningen önskar i sammanhanget särskilt belysa svårigheten med att
få fram en samlad bild över vilka system som är kritiska och anser att det är
nödvändigt och en framgångsfaktor för uppdraget att detta analyseras
närmare. Analysen bör kartlägga vilka system som är kritiska med avseende
på skyddsmålen konfidentialitet , tillgänglighets och riktighet4 avseende
informationen som hanteras i IT-systemen. I det föreslagna uppdraget att
implementera en central teknisk lösning ingår därför att tillse att bolag och
förvaltningar rapporterar vilka IT-system som bedöms vara de mest kritiska
med avseende på konfidentialitet, riktighet och tillgänglighet.
2
Eventuella förtydliganden som behöver göras gällande hur loggar följs upp
föreslås hanteras inom ramen för uppdraget åt landstingsdirektören att
genomföra översyn av roller, ansvar och beslutsmandat så att tydliga
beslutskedjor etableras för IT-säkerhetsåtgärder och hantering av
IT-säkerhetsrelaterade incidenter, LS 1404-0548.
Skyddsmål att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får
göras tillgängligt eller avslöjas för obehöriga - SIS HB 550 utgåva 3
3 Skyddsmål där informationstillgångar skall kunna utnyttjas i förväntad utsträckning och
inom önskad tid - SIS HB 550 utgåva 3
4 Skyddsmål att information inte förändras, vare sig obehörigen, av misstag eller på grund av
funktionsstörning - SIS HB 550 utgåva 3
2
LS 1404-0549
Stockholms läns landsting
5(5)
TJÄNSTEUTLÅTANDE
2015-08-03
Ekonomiska konsekvenser av beslutet
Det är svårt att i detta utredningsskede estimera kostnaderna för föreslagen
lösning. Hur kostnaderna fördelas över tid beror på vilken lösning som
slutligen väljs, hur många loggkällor som ansluts och hur mycket loggdata
som samlas in, lagras och korreleras. Investeringsbehovet för en central
lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk
och kritiska IT-system bedöms i nuläget motsvara cirka 5-10 miljoner
kronor i sin helhet. Till detta tillkommer en årlig kostnad för drift och
förvaltning på cirka 1,5-2 miljoner kronor per år. Omfattning och
ekonomiska konsekvenser bör säkerställas före implementering. Årliga
kostnader för drift och förvaltning bedöms i nuläget rymmas inom tilldelad
budgetram för perioden 2016-2017. Identifierade investeringsbehov
bedöms även de inrymmas inom tilldelad budgetram genom
omprioriteringar. Det är möjligt att utifrån design- och produktval styra
investeringens utfall över åren 2016-2017.
Kostnader och investeringsbehov för föreslagen lösning bör ställas i relation
till de kostnader som uppstår för IT-säkerhetsincidenter utan en sådan
lösning, exempelvis driftavbrott till följd av ett större utbrott av skadlig kod
eller dataintrång. Föreslagna lösningar kan förväntas ha en preventiv
verkan på verksamhetens budget samt på andra negativa konsekvenser som
kan uppstå i samband med allvarliga IT-relaterade incidenter.
Miljökonsekvenser av beslutet
I enlighet med landstingets Miljöpolitiska program 2012 - 2016 har hänsyn
till miljön beaktats och slutsatsen är att det inte är relevant med en
miljökoåsekvensfoedömning i detta ärende.
LS 1404-0549