Region Skåne
Skånes Kommuner
EU-logotyp

Nyhetsbrev 4

Säker Digital Kommunikation i Skåne

Det här nyhetsbrevet skickas ut av projektgruppen för Säker Digital Kommunikation (SDK) i Skåne. Projektet syftar till att underlätta och stötta införandet av SDK genom att till exempel informera, motivera och inspirera offentliga verksamheter i Skåne att ansluta till SDK.

SDK är intressant för kommuner, regioner såväl som statliga myndigheter för att underlätta informationsutbytet av känslig information.

Mer information om projektet och kontaktuppgifter finns i slutet av nyhetsbrevet!

Innehåll i detta nyhetsbrev

I vårt förra nyhetsbrev beskrev vi hur olika områden inom offentlig verksamhet behöver samarbeta för att på ett så effektivt sätt som möjligt införa SDK. Vi beskrev införandet som en SDK-resa där det är viktigt att verksamhet/förvaltning och IT kontinuerligt samarbetar och att fokus på informationssäkerhet tidigt genomsyrar resan.

I vårt fjärde nyhetsbrev informerar vi om övergripande aspekter avseende informationssäkerhet samt varför informationssäkerhet är viktigt i samband med ett SDK-införande i en kommun. Vi fokuserar framför allt på aspekterna tekniska krav och vägval samt krav på informationssäkerhet.

S2i2/SDK-projektet har tillsammans med Malmö stad, Simrishamns kommun och Inera tagit fram en film som innehåller information om vad som är viktigt för en kommun att tänka på och göra inför och precis efter ett beslut om ett SDK-införande tagits i en kommun. Läs mer om filmen nedan eller klicka här för att se den direkt! (Filmen öppnas i ett nytt fönster)

Slutligen informerar vi om projektets kommande SDK-webbinarium den 21 juni kl. 10.00–11.30. Förutom S2i2/SDK-projektet i Skåne kommer tjänsteförvaltare från Inera och DIGG medverka och informera om det nationella SDK-arbetet. Webbinariet är på grundläggande nivå och öppet för alla som är intresserade av lära sig mer om SDK. Läs mer om webbinariet nedan eller klicka här för att anmäla dig direkt! (Anmälningsformuläret öppnas i ett nytt fönster)

Låt oss hålla dig uppdaterad!

Klicka på knappen nedan för att prenumerera på vårt nyhetsbrev. Nyhetsbreven kommer att skickas ut månadsvis. Skicka gärna vidare detta nyhetsbrev till alla du tror kan vara intresserade så att de också kan prenumerera!
Man skriver på dator

Informationssäkerhet för den informationsmängd som hanteras inom SDK

Inför ett arbete med att ansluta till SDK behöver en kommun förbereda sig och ta fram ett beslutsunderlag. Det finns totalt fyra huvudområden att beakta i detta arbete:
  1. Informationssäkerhetskrav
  2. Tekniska krav och vägval
  3. Val av klient/verktyg för att skicka SDK-meddelanden
  4. Verksamhetsbehov
I detta nyhetsbrev fokuserar vi på de två första punkterna och tittar närmare på dessa ur ett informationssäkerhetsperspektiv.
hacker

1. Informationssäkerhetskrav

Informationssäkerhet
Informationssäkerhet är ett samlingsbegrepp på de åtgärder som kan vidtas för att förhindra att information:
  • Läcker ut till obehörig
  • Förvanskas
  • Förstörs
  • Är otillgänglig när den behövs.
För offentliga organisationer kan det handla om att skydda information mot en uppsättning hot för att säkerställa verksamhetens kontinuitet. Exempel kan vara att säkerställa tillgång till källkod till verksamhetskritisk programvara, utföra backup av samma programvara samt kryptera kommunikation för att minimera verksamhetsrisker. Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process, organisationsstruktur eller olika mjuk- och hårdvarufunktioner. Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder för att säkerställa att organisationens säkerhets- och verksamhetsmål uppnås.

Generella informationssäkerhetskrav för SDK
SDK innehåller ett regelverk där anslutande organisationer måste leva upp till gemensamma krav och standarder. Det finns därför skäl att i ett tidigt skede se över att rätt förmåga till informationssäkerhetsarbete finns. Har organisationen stora gap inom området för informationssäkerhet kan det ta tid att åtgärda och därmed bromsa hela kommunens SDK-resa. Det rekommenderas därför att i ett tidigt skede göra en bedömning av kommunens status kring informationssäkerhet.

Övergripande krav som ställs inom SDK är bland annat att:
  • Ha förmåga till säker inloggning, e-identifikation och multifaktorsinloggning.
  • Ha ett systematiskt och dokumenterat informationssäkerhetsarbete (jmf LIS – Ledningssystem för informationssäkerhet) där risker identifieras och där organisatoriska och tekniska åtgärder vidtas, samt att årliga revisioner genomförs.
Frågor att ställa inledningsvis för den kommande SDK-resan:
  • Lever kommunen upp till informationssäkerhetskraven eller finns det behov av åtgärder? Behöver kommunen starta ett större arbete i detta syfte?
  • Behöver organisationens IT-miljö anpassas utifrån SDK-krav på informationssäkerhet?
Files and folders network

2. Tekniska krav och vägval

Självdeklaration
Här handlar det främst om att sätta sig in i gällande krav för SDK. Detta görs lämpligen genom att gå igenom kraven i den självdeklaration (SDK Självdeklaration) som anslutande organisationer behöver lämna in för att ansluta till SDK. Utifrån kraven behöver en bedömning kring nuläget, och en identifiering rörande behov av åtgärder i kommunen göras.

Köp via teknisk leverantör
Om en kommun avser köpa så mycket som möjligt färdigt av en teknisk leverantör blir kraven på informationssäkerhet det viktigaste att fokusera på, då den leverantör som kommunen ansluter sig via är den som i huvudsak kommer att behöva hantera övriga krav. För en mindre offentlig organisation kan det vara lämpligt att köpa ett helhetspaket av en leverantör. I helheten ingår också meddelandetjänst (teknisk komponent som överför meddelanden till klienten). Ett förarbete bör alltså resultera i ett förslag på hur en kommun vill skaffa sig den tekniska förmågan, inklusive vilka produkter som krävs samt kostnader på kort och lång sikt. Kommunen bör därtill ta ställning till hur förvaltningen ska hanteras och om den lokala IT-miljön behöver anpassas på något sätt.

Accesspunkt
Accesspunkten är en central del av SDK och utgörs av en teknisk komponent som en kommun kan välja att sätta upp och drifta själv, köpa separat som tjänst av en leverantör eller köpa den i paket tillsammans med den klient som väljs för att skicka SDK-meddelanden. Ett annat alternativ är att gå samman med en annan organisation och låta dem agera accesspunktsoperatör. Att drifta själv rekommenderas för större organisationer som har resurser att utveckla och förvalta mycket själva.

Viktiga bedömningar i informationssäkerhetsarbetet avseende SDK
  • Bedöm hur kommunen lever upp till de informationssäkerhetskrav som specificeras i självdeklarationen. Identifiera gap och behov av åtgärder.
  • Bedöm vad de olika alternativa vägarna att skaffa sig SDK-förmåga innebär för kommunen. Vill kommunen agera accesspunktsoperatör själv eller köpa tjänsten? Vill kommunen försöka köpa allt i ett helhetspaket, inklusive klient?
  • Om kommunen själv väljer att vara accesspunktsoperatör behöver de tekniska kraven i självdeklarationen gås igenom. I annat fall hanteras detta av den som sköter accesspunkten.

Projektet SDK i Skåne

Stöd- och utbildningsinsatser

Film om de första stegen mot införande av Säker Digital Kommunikation

Vill du veta mer om hur din kommun kan förbereda sig inför ett SDK-införande? Gå in och titta på SDK-projektets film för att ta del av erfarenheter från Malmö stads och Simrishamn kommuns förberedande SDK-arbete. I filmen delar även Inera med sig av tips kring bland annat vad som är viktigt för en kommun att tänka på och göra innan beslut om ett SDK-införande tas. Klicka på bilden för att spela filmen (Filmen öppnas i ett nytt fönster).
Film SDK
Susanne Jönsson och Dan Nilsson från Malmö stad, Peter Nilsson från Simrishamns kommun delar erfarenheter och tips inför ett SDK-införande.

SDK-webbinarium den 21 juni

Den 21 juni kl. 10–11.30 anordnar S2i2/SDK-projektet i Skåne ett webbinarium för samtliga kommuner i Skåne samt Region Skåne. Webbinariet ger en introduktion till SDK på grundläggande nivå och är öppet för alla som är nyfikna på SDK oavsett bakgrund, inga förkunskaper krävs. Under webbinariet kommer vi informera om vad som sker på nationell, regional och lokal nivå avseende SDK, vilket bland annat inkluderar följande:
  • Information från S2i2/SDK-projektet om hur projektet arbetar för att stödja Skånes kommuner i att ansluta till SDK
  • Inera informerar om den nationella SDK-tjänsten, vad som krävs för att ansluta till SDK samt information om leverantörsmarknaden och den öppna testmiljön
  • DIGG informerar om plattformen eDelivery, det stöd DIGG erbjuder till kommuner vid införandet av SDK samt vad en kommun behöver för att ansluta sig till SDK-tjänsten
  • Erfarenheter från skånska kommuner kring deras införande av SDK
  • Möjlighet att ställa frågor om SDK
Varmt välkomna att delta! Följ denna länk för att anmäla dig till webbinariet.

Planerade utbildningsinsatser under hösten 2022

Under hösten planerar S2i2/SDK-projektet en rad utbildningsinsatser på olika teman som bland annat innefattar:
  • Introduktion till Säker Digital Kommunikation
  • Förberedande arbete i verksamheten: kartläggning av informationsflöden (på verksamhetsområde nivå)
  • Förberedande arbete i verksamheten och IT: informationssäkerhet
  • Förberedande arbete för IT: tekniska krav och vägval
  • Goda exempel vid SDK-införande baserat på projektets deltagande kommuners erfarenheter genomsyrar samtliga utbildningsinsatser
Inbjudan för att anmäla sig till våra utbildningsinsatser skickas ut i början av hösten 2022.
Dialog

Nätverkande i Skåne och nationellt

Tveka inte att kontakta oss i SDK-projektet om du vill att vi kommer ut och presenterar om SDK i er kommun – vi finns här för att stötta er i SDK-resan!

SDK-projektet nätverkar kontinuerligt med olika digitaliseringsforum och med potentiella mottagande myndigheter för att informera om SDK och om SDK-projektet i Skåne. Hittills har vi knutit kontakt med följande nätverk och myndigheter:
  • Skånegemensam digitalisering
  • EttIT
  • Unikom
  • Malmö-Lund-regionen
  • Region Skåne och 4-hörn
  • Familjen Helsingborg
  • Arbetsförmedlingen
  • Försäkringskassan

Det nationella SDK initiativet

Ineras SDK användarforum

Syftet med användarforum är att främja användningen av Ineras tjänster och lyfta frågor av funktionell karaktär, agera kanal för informations- och erfarenhetsutbyte samt för att samla in behov och kommunicera kring tjänsten.

Den 29 augusti kl 14.00-15.30 håller Inera nästa SDK användarforum. Tema för mötet är administration av SDK Adressbok. Här hittar du Ineras användarforum.

Projektet SDK i Skåne är en del av S2i2-projektet

Region Skåne har tillsammans med tio samverkansparter tilldelats finansiering från Europeiska Regionalfonden för att genomföra projektet Skånsk Samverkan för innovativ Informationshantering (S2i2).
Projektet fokuserar bland annat på införande av den nationella tjänsten Säker Digital Kommunikation (SDK) hos skånska kommuner och Region Skåne. Projektet riktar sig till skånska kommuner, Region Skåne och näringslivet i Skåne.

Målet är att efter avslutat projekt ska deltagande kommuner och Region Skåne ha ökat sin förmåga att kommunicera känslig information på ett säkert sätt.

Detta material riktar sig till medarbetare och förtroendevalda i skånska kommuner och Region Skåne som önskar få en grundläggande förståelse för Säker Digital Kommunikation (SDK).
Avsändare
Johan Nordin
johan.nordin@skaneskommuner.se
Samordnare SDK, Skånes Kommuner

Rebecca Mosson
rebecca.mosson@helseplan.se
Processledare SDK, Helseplan

Projektet SDK drivs av Region Skåne och Skånes Kommuner med stöd av Europeiska Regionala Utvecklingsfonden (ERUF).
Region Skåne
Skånes Kommuner
EU-logotyp