Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT TJÄNSTEUTLÅTANDE 2015-08-03 LS 1404-0549 Ankom Stockholms läns landsting Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning 2015 -08- 1 1 Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Ärendebeskrivning Lanstingsstyrelsen gav i april år 2014 landstingdirektören i uppdrag att utreda en central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system. I detta ärende redovisas resultatet av denna utredning. Beslutsunderlag Tillförordnande landstingsdirektörens tjänsteutlåtande den 3 augusti 2015 Teknisk rapport Förstudie - Central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system rapporten finns att tillgå hos LSF kansli. Förslag till beslut Innovationsberedningen föreslår arbetsutskottet föreslå landstingsstyrelsen besluta att godkänna utredningen att uppdra åt landstingsdirektören att implementera central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system enligt med tillförordnade landstigsdirektörens tj änsteutlåtande att genomförandet sker inom ramen för fastställd budget. Förvaltningens förslag och motivering Sammanfattning Stockholms läns landsting står inför stora satsningar både inom trafik och vård med höga krav på informations- och IT-säkerhet. För att uppnå satta mål behöver landstinget successivt öka sin IT-säkerhet. Landstingsstyrelsen Hemlig Dessa handlingar är sekretessbelagda enligt 18 kap 8 § punkt 3 i offentlighets- och sekretesslagen (2009:400) Stockholms läns landsting 2(5) TJÄNSTE UTLÅTANDE 2015-08-03 gav i april år 2014 landstingdirektören i uppdrag att utreda central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system. Efter utredning föreslås nu en sådan lösning samt att den implementeras. Bakgrund Stockholms läns landsting står inför stora satsningar inom områdena trafik och vård. För att uppnå satta mål behöver landstinget successivt öka sin IT-säkerhet. Landstingsstyrelsen gav i april år 2014 landstingdirektören flera uppdrag gällande kort- och långsiktiga lösningar för att stärka IT-säkerheten, LS 1311-1456. Ett av dessa var att utreda central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system. Överväganden Det finns idag inom landstinget olika slags logg- och larmsystem för IT-system och nätverfeinfrastruktur. Exempel är logganalys-verktyg som skapats för att uppfylla patientdatalagen och kraven på åtkomstkontroll, larmsystem för administrativa åtgärder, anslutningsloggar, viruslarm, intrångsdetektering etcetera. Ett centralt system för insamling och korrelering av olika slags loggar i syfte att ytterligare stärka IT-säkerheten som helhet saknas dock. Ur ett IT-säkerhetsperspektiv är det mest fördelaktigt att på ett automatiskt sätt kunna samla in information från loggar för kritiska IT-system för att vid en senare tidpunkt kunna analysera den. Detta i syfte att i efterhand kunna utreda incidenter men även för att kunna skapa larmnivåer utifrån analyser av insamlad nätverkstrafik. Den överblick som en samlad process skulle kunna ge skapar nya möjligheter till effektiva prioriteringar utifrån verksamheternas behov och stärka IT-säkerheten. I utredningen har nuläget analyserats utifrån olika slags oönskade händelser, såsom exempelvis obehörig åtkomst till IT-system och nätverksmiljöer, skadlig kod, externa angreppsförsök, utnyttjande av sårbarheter i servrar etcetera. Möjligheterna att detektera och i efterhand analysera oönskade händelser i den befintliga loggningen har utretts. Såväl tekniska som juridiska förutsättningar har utretts och förvaltningen konstaterar att en implementering är möjlig att genomföra. I syfte att ytterligare öka säkerheten för i första hand kritiska IT-system och nätverksmiljöer samt öka förutsättningarna att kunna förebygga och hantera oönskade IT-säkerhetsrelaterade händelser på ett effektivt sätt LS 1404-0549 Stockholms läns landsting 3(5) TJÄNSTEUTLÅTANDE 2015-08-03 föreslås att en central teknisk lösning implementeras för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system. En sådan lösning är inte tänkt att ersätta dagens olika loggsystem, utan snarare komplettera landstingets befintliga lösningar. Det är framför allt aktuellt att samla in information gällande in- och utloggningar i kritiska IT-system. Loggar som exempelvis hanterar vem som har läst vilken patientjournal, kommer även fortsättningsvis behöva hanteras i separata system, till exempel SALA . För att få ett bra upplägg på larmhantering kopplat till loggar föreslås att arbetet först inriktas på att samla in loggar i ett centralt logghanteringsverktyg. 1 En central teknisk lösning i tre delar föreslås innehålla: • system för central logghantering för centrala säkerhetskomponenter, plattformar och kritiska IT-system i landstingets nätverk • system för automatisk sårbarhetsskanning av kritiska IT-system inom landstinget • system för att hantera och korrelera larm kring IT-säkerhetshändelser, ett så kallat SIEM-system, security information and event management Den första delen, automatisk logganalys, är tänkt att kunna detektera och larma för incidenter och överträdelser i nätverksmiljön. System som bedömts aktuella att samla in loggar för under kategorin nätverk är säkerhetskomponenter som brandvägg, olika proxy-funktioner, anti-viruslösningar med mera samt statistik över nätverksflöden från komponenter i nätverket. Förslagsvis ansluts centrala säkerhetskomponenter såsom brandväggar och antivirus först, varefter andra kritiska IT-system ansluts efter hand. Den andra delen innebär implementering av system för sårbarhetsanalys/ sårbarhetsskanning. Förvaltningen föreslår att så kallad passiv sårbarhetsskanning används för tillgänglighetskritiska servrar och nätverksenheter. Aktiv sårbarhetsskanning bör användas för andra slags system. Den tredje delen innebär implementering av ett system för att analysera och korrelera larm kring IT-säkerhetshändelser, en så kallad SIEM-lösning, security information and event management. En sådan lösning tillhandahåller realtidsanalys av säkerhetsrelaterade händelser och kan generera högprioriterade larm genom att korrelera lägre prioriterade varningar eller information från olika system. Under ett angrepp behöver SALA, Systematisk automatiserad logganalys, är ett IT-hjälpmedel inom e-hälsa för att granska loggade journalöppningar i journalsystemet TakeCare. 1 LS 1404-0549 Stockholms läns landsting 4(5) TJÄNSTE UTLÅTANDE 2015-08-03 ofta flera olika datakällor kombineras för att kunna ge information om vad angriparen har gjort och vilken skada som skett. Implementering av en central teknisk lösning föreslås ske stegvis. Principen föreslås gälla att central logginsamling först finns på plats och erfarenheter tillvaratas från denna innan SIEM-funktionalitet implementeras. Mot denna bakgrund föreslås följande stegvisa införande: Under år 2015 föreslås att central logginsamling kravställs. Under år 2016 föreslås att central logginsamling implementeras utifrån framtagen kravställning i enlighet med vad som framgår av utredningen. Det föreslås att centrala säkerhetskomponenter såsom brandväggar och antivirus ansluts först. Övriga prioriterade IT-system ansluts sedan efter hand. Vidare förslås även att kravställning utförs gällande system för sårbarhetsskanning samt system för att analysera och korrelera larm kring IT-säkerhetshändelser, SIEM. Kravställning bör utgå från nyckeltal kring loggvolymer och andra detaljer som identifieras under implementation av central logginsamling. Under år 2017 föreslås slutligen att sårbarhetsskanning och SIEM-lösning implementeras utifrån den kravställning som tagits fram under år 2016. Förvaltningen önskar i sammanhanget särskilt belysa svårigheten med att få fram en samlad bild över vilka system som är kritiska och anser att det är nödvändigt och en framgångsfaktor för uppdraget att detta analyseras närmare. Analysen bör kartlägga vilka system som är kritiska med avseende på skyddsmålen konfidentialitet , tillgänglighets och riktighet4 avseende informationen som hanteras i IT-systemen. I det föreslagna uppdraget att implementera en central teknisk lösning ingår därför att tillse att bolag och förvaltningar rapporterar vilka IT-system som bedöms vara de mest kritiska med avseende på konfidentialitet, riktighet och tillgänglighet. 2 Eventuella förtydliganden som behöver göras gällande hur loggar följs upp föreslås hanteras inom ramen för uppdraget åt landstingsdirektören att genomföra översyn av roller, ansvar och beslutsmandat så att tydliga beslutskedjor etableras för IT-säkerhetsåtgärder och hantering av IT-säkerhetsrelaterade incidenter, LS 1404-0548. Skyddsmål att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får göras tillgängligt eller avslöjas för obehöriga - SIS HB 550 utgåva 3 3 Skyddsmål där informationstillgångar skall kunna utnyttjas i förväntad utsträckning och inom önskad tid - SIS HB 550 utgåva 3 4 Skyddsmål att information inte förändras, vare sig obehörigen, av misstag eller på grund av funktionsstörning - SIS HB 550 utgåva 3 2 LS 1404-0549 Stockholms läns landsting 5(5) TJÄNSTEUTLÅTANDE 2015-08-03 Ekonomiska konsekvenser av beslutet Det är svårt att i detta utredningsskede estimera kostnaderna för föreslagen lösning. Hur kostnaderna fördelas över tid beror på vilken lösning som slutligen väljs, hur många loggkällor som ansluts och hur mycket loggdata som samlas in, lagras och korreleras. Investeringsbehovet för en central lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system bedöms i nuläget motsvara cirka 5-10 miljoner kronor i sin helhet. Till detta tillkommer en årlig kostnad för drift och förvaltning på cirka 1,5-2 miljoner kronor per år. Omfattning och ekonomiska konsekvenser bör säkerställas före implementering. Årliga kostnader för drift och förvaltning bedöms i nuläget rymmas inom tilldelad budgetram för perioden 2016-2017. Identifierade investeringsbehov bedöms även de inrymmas inom tilldelad budgetram genom omprioriteringar. Det är möjligt att utifrån design- och produktval styra investeringens utfall över åren 2016-2017. Kostnader och investeringsbehov för föreslagen lösning bör ställas i relation till de kostnader som uppstår för IT-säkerhetsincidenter utan en sådan lösning, exempelvis driftavbrott till följd av ett större utbrott av skadlig kod eller dataintrång. Föreslagna lösningar kan förväntas ha en preventiv verkan på verksamhetens budget samt på andra negativa konsekvenser som kan uppstå i samband med allvarliga IT-relaterade incidenter. Miljökonsekvenser av beslutet I enlighet med landstingets Miljöpolitiska program 2012 - 2016 har hänsyn till miljön beaktats och slutsatsen är att det inte är relevant med en miljökoåsekvensfoedömning i detta ärende. LS 1404-0549
© Copyright 2024