Netværkssikkerhed

Formål

Bestemmelsens formål er at sikre, at leverandøren beskytter myndighedens data og information mod netværksbaserede sikkerhedshændelser, eksterne såvel som interne, og imødekommer disse på en hensigtsmæssig måde. Det bagvedliggende formål i den forbindelse er at sikre beskyttelsen af integriteten, tilgængeligheden og fortroligheden af kundens data.

Kontrakttyper, hvor bestemmelserne kan bruges

Bestemmelsen kan anvendes til inspiration i kontrakter, hvor ydelsen er forbundet med et netværk, uanfægtet at der er tale om inter- eller intranet. Anvendelsen bør dog også tage udgangspunkt i en konkret vurdering. Der bør i denne vurdering tages højde for myndighedens behov for, at løsningens tilgængelighed, integritet og fortrolighed bevares, samt hvilke ressourcetræk bestemmelsen kan medføre. Endelig bør der tages højde for lovmæssige krav, herunder blandt andet persondata- og offentligretlige.

Klausulens anvendelse er ingen garanti for god sikkerhed, og det er derfor vigtigt, at den enkelte myndighed ser klausulen i sin kontekst og anvender den som inspiration.

Fordele og ulemper ved bestemmelserne

En stor andel af de sikkerhedsmæssige hændelser, der har været de seneste år, stammer fra internettet. Anvendelse af bestemmelserne kan bidrage til at højne sikkerheden i netværket for derigennem hurtigere at kunne opdage og reagere på netværksrelaterede hændelser. Myndigheden skal dog være opmærksom på, at bestemmelsernes anvendelse ikke er nogen total beskyttelse mod udefrakommende trusler.

Opfølgning i driftsfasen

Myndigheden bør løbende sikre sig, at leverandøren opfylder sine forpligtelser. Omfanget og frekvens på opfølgningen afhænger af, hvilke opgaver netværket anvendes til at varetage. Brud på netværkssikkerheden kan medføre, at de netværksafhængige løsninger bliver utilgængelige. Det kan for eksempel give udslag i, at myndigheden ikke kan tilgå sit sagsbehandlingssystem eller modtage og sende email.

Bestemmelsen sikrer, at myndigheden til enhver tid skriftligt kan anmode leverandøren om at redegøre for netværkssikkerheden i de systemer, der vedrører myndigheden. Dette kan være særligt relevant i situationer, hvor der opleves nedbrud på en borgervendt netværksbaseret løsning, og den relevante myndighed må redegøre overfor pressen eller Folketinget.

Bod/bonus

Det anbefales, at de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder fx bod eller ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret og skade på omdømme.

Rapportering

Bestemmelsen indeholder dokumentationskrav med faste intervaller, men også en mulighed for, at myndigheden kan udbede sig en redegørelse, såfremt det skulle være nødvendigt. Bestemmelsen fastslår, at leverandøren skal underrette myndigheden skriftligt såvel som mundtligt i tilfælde, hvor netværkssikkerheden kompromitteres. Baggrunden herfor er, at kompromittering af netværket kan medføre tab af tilgængelighed, hvilket kan give udslag i, at leverandøren, myndigheden eller begge er afskåret fra at kommunikere via mail. Kompromittering kan også medføre tab af fortrolighed, hvilket kan betyde, at en angriber bliver bekendt med, at leverandøren og myndigheden forsøger at imødekomme angrebet.

Kommer angriberen i besiddelse af sådan information, kan det indskrænke leverandørens og myndighedens muligheder for at begrænse konsekvenserne af angrebet. Tab af integritet kan medføre et man-in-the-middle-angreb, hvor angriberen ændrer indholdet i den kommunikation, der foregår mellem Leverandør og myndighed. Alle disse eksempler på forværringer af situationen forudsætter, at Leverandøren og myndigheden kommunikerer ved hjælp af det kompromitterede netværk, hvilket kan imødekommes ved at kommunikere via andre kanaler, herunder per telefon eller ved personligt fremmøde.

Standarder og ubekendte

Bestemmelsen henviser til en internationalt anerkendt standard. I nærværende tilfælde kan det være relevant at overveje ISO 27033.

Bestemmelsen indeholder en række ubekendte, markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en forhandling med leverandøren om, hvilket indhold bestemmelsen skal have.