Oplg til strategi diskussion, SIK - IT- og Telestyrelsen

IT‐sikkerhedskontoret
Aktivitetsbeskrivelse
IT‐sikkerhedskontoret har to hovedområder: Kompetencecenter for it‐
sikkerhed og Beredskabssekretariatet. Begge områder arbejder for at skabe
tryghed og sikkerhed i forbindelse med brugernes omgang med it og tele,
hvilket er udtrykt i vores vision:
Vi skaber en sikkerhedskultur
En sikkerhedskultur afspejler den holdning, at it‐sikkerhed er en
nødvendighed og et fælles ansvar. Borgere, virksomheder og den offentlige
sektor er alle led i den samme kæde og dermed gensidigt afhængige af
hinandens sikkerhedsmæssige beslutninger.
Den offentlige sektor spiller en væsentlig rolle i digitaliseringen af samfundet
gennem udvikling af elektroniske tjenester og infrastruktur. Det betyder, at
den offentlige sektor har et betydeligt ansvar for at sikre, at oplysning om
borgere og virksomheder, som den offentlige sektor er betroet, beskyttes på
passende vis. Også de krav, det offentlige kan stille til en robust og sikker
infrastruktur, medvirker til at styrke sikkerhedskulturen hos virksomheder og
borgere, eftersom samfundet grundlæggende anvender samme infrastruktur.
IT‐sikkerhedskontoret arbejder for at
udbrede en sikkerhedskultur inden for fire
områder: Adfærd, produkter, infrastruktur
samt gennem internationalt samarbejde.
Indsatsen på de fire områder er
nødvendige, sammenhængende dele af
arbejdet med at skabe en
sikkerhedskultur, som sikrer, at alle
tænker og handler på en måde, der
fremmer samfundets digitale sikkerhed.
Sikker
adfærd
Sikker
infrastruktur
1. Fremme en sikker infrastruktur
Netværk og informationssystemers tilgængelighed,
robusthed og sikkerhed er i stigende grad centralt for
vores økonomi og samfund. Derfor arbejder
Kompetencecenter for it‐sikkerhed på at styrke
infrastrukturen. Udfordringen er at tilvejebringe et
tilstrækkeligt sikkerhedsniveau, der afspejler
samfundets afhængighed af infrastrukturen.
Sikkerheds‐
kultur
Sikre
produkter
Interna‐
tionalt arbejde
Sikker
infrastruktur
Beredskabssekretariatet samarbejder med ejerne af it‐ og
teleinfrastrukturerne og skaber incitamenter til at investere i en robust og
April 2008
IT-sikkerhedskontoret
IT- og Telestyrelsen
Holsteinsgade 63
2100 København Ø
Telefon 3545 0000
Telefax 3545 0010
E-post itst@itst.dk
Netsted www.itst.dk
CVR-nr. 26769388
Sarah Kirkeby
Telefon 3337 9154
Telefax 3545 0010
E-post saki@itst.dk

sikker infrastruktur. Liberaliseringen af telemarkedet har øget behovet for
at etablere et fælles sikkerhedsniveau udbyderne imellem for at sikre det
samlede telenets tilgængelighed og robusthed. Beredskabssekretariatet
arbejder således for at fremme brugen af en anerkendt it‐sikkerheds‐
standard som en fælles referenceramme ‐ også for teleudbyderne.
IT‐sikkerhedskontoret arbejder i øjeblikket med følgende aktiviteter
relateret til infrastruktur:
A. Overgang til IPv6: IPv4, den gamle version af det tekniske sprog, som
internettet er baseret på, er ved at mangle adresser. Der kan således ikke
tilsluttes flere enheder til internettet. Derfor er en overgang til ny version
med flere adresser nødvendig.
B. Statens it‐net: Kompetencecenter for it‐sikkerhed deltager med it‐
sikkerhedsfaglig ekspertise i udviklingen af et centralt net, der skal bære
al statens elektroniske kommunikation (tale, data og video).
C. Varslingstjeneste: Etablering af en tjeneste med det formål at beskytte
og varsle staten mod trusler fra internettet.
D. Privacy: Fremme udviklingen af en infrastruktur, hvor hensynet til
privatlivet er indbygget.
E. Infrastrukturberedskabet: Beredskabssekretariatet fastsætter
minimumskrav til teleudbyderne om beredskabsplanlægning og en robust
elektronisk infrastruktur samt styrkelse af det operative samarbejde
mellem beredskabsaktørerne på it‐ og teleområdet, således at
teletjenesterne i så høj grad som muligt er tilgængelige ved større
ulykker og katastrofer.
2. Fremme sikre produkter
Borgere og virksomheder skal være trygge ved og
have tillid til anvendelse af it – tilstedeværelsen af
sikre produkter hos slutbrugeren er derfor en
forudsætning for den fortsatte udnyttelse af
samfundets digitaliseringspotentiale. Mange af
slutbrugernes it‐systemer er i dag sårbare over for
angreb, og nye teknologier som Web 2.0 samt tæt
Sikre
produkter
integration mellem it‐systemer medfører, at mange borgere ufrivilligt
afgiver information uden tilstrækkelig beskyttelse af privatlivet. Sammen
med angreb på informationssystemer kan dette medføre mistillid til
digitaliseringen hos borgerne. Det er derfor vigtigt, at brugeren forholder
sig til sikkerheden i produkter og på egen pc.
Fraværet af en mærkningsstandard, der tillader den almindelige borger at
skelne mellem sikre og usikre produkter, gør, at prisen bliver det
væsentligste kriterium for køb. Kompetencecenter for it‐sikkerhed ønsker
derfor at støtte arbejdet med at få etableret en mærkningsordning eller
anden form for klassificering, der tydeliggør sikkerhedsniveauet for it‐
produkter. Desuden støtter Kompetencecenter for it‐sikkerhed, at der i
offentlige udbud stilles krav om, at kun produkter med et passende
sikkerhedsniveau bliver anvendt.
April 2008
IT-sikkerhedskontoret
IT- og Telestyrelsen
Holsteinsgade 63
2100 København Ø
Telefon 3545 0000
Telefax 3545 0010
E-post itst@itst.dk
Netsted www.itst.dk
CVR-nr. 26769388
Sarah Kirkeby
Telefon 3337 9154
Telefax 3545 0010
E-post saki@itst.dk

Gennem en holdningsændring til valg af produkter vil Kompetencecenter
for it‐sikkerhed skabe en incitamentsstruktur, der fremmer anvendelsen af
produkter, der har det sikkerhedsniveau, som er passende til det formål,
de anvendes til.
Kompetencecenter for it‐sikkerhed arbejder i øjeblikket med følgende
projekter relateret til sikre produkter:
A. Sårbarhedstest: Udvikling og drift af et værktøj, der identificerer basale
sårbarheder i slutbrugerens internetforbindelse.
B. Common Criteria: Mærkningsordning for produkters sikkerhedsniveau
rettet mod myndigheder og store virksomheder.
C. Privacy: Fremme af anvendelsen af Privacy Enhancing Technologies
(komponenter der fremmer privatlivets fred i it‐løsninger) i offentlige
initiativer.
3. Fremme sikker adfærd
Alle skal gennem informationskampagner og
uddannelse blive opmærksomme på, at de er en del
af en sammenhængende sikkerhedskæde. Hermed
bliver der skabt grundlag for at træffe forsvarlige
valg, både på nettet og ved indkøb af produkter.
Borgere, virksomheder og den offentlige forvaltning
skal gives fornøden kompetence og viden om it‐
Sikker
adfærd
sikkerhed, således at de kan forholde sig til udfordringer i forbindelse med
netværks‐ og informationssamfundet.
Den offentlige sektor har et særligt ansvar for at fremme sikkerhed, da den
er den største informationsbehandler. Kompetencecenter for it‐sikkerhed
ønsker gennem oplysning at højne it‐sikkerhedskendskabet og ‐
kompetencerne i Danmark. Gennem rådgivning, synlighed og samarbejde
ønsker Kompetencecenter for it‐sikkerhed at sikre, at adfærden bygger på
en styrket forståelse af konsekvenserne ved sikkerhedsmæssige valg.
Kompetencecenter for it‐sikkerhed vejleder om it‐sikkerhed og privacy over
for borgere, den offentlige sektor og samfundet generelt. Centret rådgiver
desuden den statslige sektor inden for it‐sikkerhedsstandarder,
sikkerhedsledelse samt best practice på it‐sikkerheds‐ og privacy‐området.
Der ydes ligeledes bistand til regioner og kommuner med henblik på at
styrke kendskabet til it‐sikkerhedsstandarder og sikkerhedsledelse.
Samlet set har Kompetencecenter for it‐sikkerhed følgende aktiviteter til
fremme af sikker adfærd:
A. Rådgivning og vejledning: Fremme af sikker adfærd rettet mod borgere
og den offentlige sektor.
April 2008
IT-sikkerhedskontoret
IT- og Telestyrelsen
Holsteinsgade 63
2100 København Ø
Telefon 3545 0000
Telefax 3545 0010
E-post itst@itst.dk
Netsted www.itst.dk
CVR-nr. 26769388
Sarah Kirkeby
Telefon 3337 9154
Telefax 3545 0010
E-post saki@itst.dk

B. DS 484: Rådgivning om den statslige standard for it‐sikkerhed til den
offentlige sektor.
C. Netsikker nu!: Faglig bistand til udvikling af tema og budskab i netsikker
nu!‐kampagnen.
D. Samarbejde med Teknologirådet: Tilskud til Teknologirådets
debatskabende initiativer på it‐sikkerhedsområdet.
E. Privacy: Oplysning om privacy og privatlivsrelaterede problemstillinger.
4. Internationalt
Mange it‐sikkerhedsmæssige problemer omkring
anvendelse af internettet som
informationshovedvej har en grænseoverskridende
karakter og bekæmpes mest effektivt gennem
internationalt samarbejde. Derfor arbejder
Kompetencecenter for it‐sikkerhed i internationale
fora med informationsudveksling af best practices
og etablering af fælles holdninger til it‐sikkerhed.
Internatio‐
nalt arbejde
Nye tjenester som social networking og digital identitetsstyring på tværs
af grænser samt Voice over IP‐ydelser (bredbåndstelefoni) afhænger i høj
grad af komplekse og gensidigt forbundne netværk. Tilgængeligheden,
skalerbarheden, pålideligheden og robustheden falder drastisk med
netværkenes kompleksitet, og i takt med at afhængigheden af andre
netværk stiger, stiger også muligheden for, at en fejl i infrastrukturen i ét
netværk medfører en fejl i et andet netværk. Herved kan en mindre fejl
skabe en domino‐effekt. Global gensidig afhængighed mellem netværk
medfører således, at landegrænser nedbrydes. Kompetencecenter for it‐
sikkerhed anvender det internationale samarbejde til at fremme
internationale aftaler, der øger samfundets robusthed samt fremmer sikre
produkter og adfærd.
Kompetencecenter for it‐sikkerhed arbejder i øjeblikket i følgende fora:
A. ENISA: Det Europæiske Agentur for Net‐ og Informationssikkerhed
(ENISA) arbejder for at sikre et højt it‐sikkerhedsniveau i EU og for at
udvikle en it‐sikkerhedskultur i EU. Agenturet rådgiver Rådet,
Kommissionen og de enkelte medlemsstater om it‐sikkerhed.
B. MERIDIAN: Meridian er et forum for regeringsrepræsentanter, drøfter på
strategisk‐politisk niveau samarbejde om beskyttelse af kritisk
informationsinfrastruktur (CIIP).
C. OECD: Working Party for Information Security and Privacy. WPISP
arbejder med udvikling af vejledende politikker og værktøjer til fremme
af privacy og sikkerhedsmæssige tiltag blandt medlemslandene.
D. IRG: Under Independent Regulators Group (IRG) er der dannet en uformel
arbejdsgruppe, der har til formål at udveksle viden og erfaringer på it‐
sikkerhedsområdet.
April 2008
IT-sikkerhedskontoret
IT- og Telestyrelsen
Holsteinsgade 63
2100 København Ø
Telefon 3545 0000
Telefax 3545 0010
E-post itst@itst.dk
Netsted www.itst.dk
CVR-nr. 26769388
Sarah Kirkeby
Telefon 3337 9154
Telefax 3545 0010
E-post saki@itst.dk