Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Transkript

1 Dnr UFV 2017/0270 Granskning av säkerheten i mobila enheter srapport Fastställd av Konsistoriet

2 Innehållsförteckning Inledning och bakgrund 3 Syfte och avgränsningar 3 Omfattning och metod 3 Sammanfattning 4 Iakttagelser, bedömningar och rekommendationer. 5 Rutiner och styrande dokument 5 Tekniskt skydd av lokala servrar 6 Tekniskt skydd av bärbara datorer 7 Tekniskt skydd av mobiler och surfplattor 8 Tekniskt skydd på mobila lagringsenheter USB-minnen och externa hårddiskar 10 Granskning av installerade versioner i förhållande till senaste version av tekniskt skydd med syfte att utvärdera rutiner för underhåll 11 2

3 Inledning och bakgrund Enligt internrevisionsplanen för 2016 hos Uppsala Universitet ska en granskning av ITsäkerheten för mobila enheter utföras på intendentur och/eller institutionsnivå. Granskningen har genomförts av konsultfirman PwC på internrevisionens uppdrag enligt avrop ur ramavtal. Syfte och avgränsningar Syftet med granskningen är att bedöma om granskade institutioner/intendenturer har ett ändamålsenligt tekniskt skydd för mobila enheter samt tillfredställande rutiner för att hålla skyddet uppdaterat samt rutiner för att följa upp incidenter kopplat till området. Granskningen är avgränsad till att endast gälla mobila enheter som bärbara datorer, mobiltelefoner (smartphones), surfplattor, externa lagringsenheter (hårddiskar och USB minnen) samt relaterade lokala servrar. Granskningen avser inte att testa och utvärdera kontroller över tid (dvs. operativ effektivitet). Granskningen ska besvara följande kontrollfrågor: Vilka tekniska skydd använder sig granskade institutioner/intendenturer av för ITsäkerhet för mobila enheter och relaterade servrar? Finns det rutiner för att säkerställa att tekniskt skydd är uppdaterat samt rutiner för att hantera eventuella incidenter kopplat till området? Är IT-säkerheten ändamålsenlig i förhållande till verksamhetens behov? Omfattning och metod Denna rapport är en sammanfattning av säkerheten i mobila enheter inom: Nationalekonomiska institutionen Rudbecklaboratoriet Intendenturen Lagerträdet Intendenturen vid BMC Granskningen har genomförts under oktober och november De enskilda granskningarna återfinns i bilagorna 1-4 till denna rapport. 3

4 Sammanfattning Efter besvarande av kontrollfrågorna görs bedömningen att den interna kontrollen av administration och teknisk hantering av IT-säkerhet för bärbara datorer, mobila enheter samt relaterade lokala servrar och externa lagringsenheter överlag är bristfällig med förbättringspotential inom ett antal områden. Nivån av intern kontroll för IT-säkerhet är tämliga likartad oavsett om det är en institutions eller en intendenturs verksamhet som granskats 1. Det bör dock påpekas att en liknande förhållanden inte är ovanliga hos andra myndigheter eller inom de privata organisationerna enligt konsulternas bedömning. Bedömningen är att fokus och styrning av området är det viktigaste för att komma tillrätta med situationen. Kostnaderna behöver inte bli så höga eftersom mjukvara redan finns. De centrala riktlinjerna avseende mobila enheter är inte kända inom de granskade enheterna. I dessa saknas bl.a. vägledning för hur mobila enheter införskaffas, vilka typer av mobila enheter som är tillåtna i verksamheten och hur dessa enheter ska registreras. Utan denna kunskap är det svårt att veta hur många mobila enheter som finns och var dessa befinner sig. Rent generellt åvilar ansvaret för säkerheten i mobila enheter användaren själv i hög grad och praktisk vägledning saknas, till exempel för hur de mobila enheterna ska administreras över tiden, hur säkerhetsinställningar ska tillämpas och för hur tekniskt stöd för underhåll erhålls. För lokala servrar har konsulterna noterat en förhöjd risk att servrarna inte har ändamålsenliga säkerhetsinställningar över tiden på grund av att patch-hanteringen inte är formaliserad eller automatiserad fullt ut. Alla granskade servrar använder samma tekniska lösning för säkerhetskopiering men det har inte gått att verifiera att säkerhetskopiering görs baserat på verksamhetens krav på acceptabla nivåer av dataförlust vilket kan resultera i högre kostnader för backuphantering. Granskningen visade på tillfredsställande rutiner för bärbara datorer inom alla granskade enheter vad gäller antivirusprogram, sårbarhetsövervakning från centralt håll och destruktion av hårddiskar. Däremot ställde ingen granskad enhet krav på att bärbara datorer ska ha ett krypteringsskydd av hårddisken. Granskningen visade också att bärbara datorer saknar krypteringsskydd på externa portar vilket medför att användare, som ofta har fulla administratörsbehörigheter, har möjlighet att extrahera information och data till olika typer av standard lagringsenheter. Då beslutet om säkerhetskopiering för data som ligger lokalt på hårddisken också ligger hos den enskilde användaren finns det en risk att automatiserade rutiner för säkerhetskopiering inte konfigureras, vilket kan resultera i permanent förlust av data. Det tekniska skyddet för smartphones och surfplattor administreras i mycket hög grad av användaren själv. Granskningen har visat på en risk för dataförlust pga otydlig hantering av säkerhetskopiering, antivirusapplikationer, uppdatering av programvara och kryptering. Möjligheten att fjärradera en smartphone eller surfplatta utnyttjas inte i dagsläget vilket kan leda till att information kommer i orätta händer. Övervakning av vilken programvara som installeras eller om mjukvaran uppdateras görs inte heller i dagsläget. En komplikation när det gäller fjärrstyrning är att det inte finns något register över innehav av smartphones eller surfplattor. Den utförda granskningen har inte kunnat påvisa att det finns dokumenterade riktlinjer med tekniska krav på externa minnen så som USB minnen eller externa hårddiskar. Det är även här upp till den enskilde användaren att själv administrera skydd för lösenordshantering eller kryptering på externa lagringsenheter. Brister i detta kan innebära att lagringsenheter kan anslutas till vilken dator som helst och data kan förloras och/eller modifieras. Konsulterna har inte kunnat utvärdera om säkerheten i mobila enheter är ändamålsenlig i förhållande till verksamhetens behov eftersom förutsättningar saknas för att centralt utvärdera vilka versioner av OS och säkerhetsuppdateringar en enhet använder. Det saknas en central mjukvara för att övervaka mobila enheter. 1 Mognadsnivån på den interna kontrollern i mobila enheter kan grafisk illustreras enligt bilaga 5 till denna rapport. 4

5 Iakttagelser, bedömningar och rekommendationer. Rutiner och styrande dokument Dokumentet Mobila enheter Regler och rekommendationer utgör det övergripande styrande dokumentet för det granskade området. 2 Granskningen har dock inte kunna påvisa att det centrala dokumentet är implementerat och känt på institution/intendentur. Vidare har granskningen inte påvisat något kontrollramverk för att säkerställa efterlevnad av reglerna i dokumentet. Granskningen har heller inte kunnat påvisa att styrande dokument upprättats för hur konfiguration och underhåll ska ske för mobila enheter eller för hur driftsorganisationen för mobila enheter ska arbeta för att säkerställa IT-säkerheten i mobila enheter över tiden. Det saknas en enhetlig central rutin för inköp av mobila enheter samt en fungerande process för att kontrollera befintliga enheter i form av ett register med uppgifter om vilka mobila enheter som finns och vem i verksamheten som har tillgång till en viss enhet. Mobila enheter övervakas inte centralt för säkerhetsincidenter. Rapportering av incidenter sker på ad-hoc basis från användare i verksamheten via den centrala rutinen för incidenthantering hos Säkerhetsavdelningen inom Uppsala Universitet. Rutinerna inom intendenturen på BMC skiljer sig något från de övriga granskade enheterna. Här finns en övergripande mobilpolicy som stipulerar att inköp av mobila enheter ska begränsas till sådana som använder sig av Windows som operativsystem och som ansluts till universitetets mjukvara. Undantag kan De iakttagna bristerna kan innebära en förhöjd risk för obehörig åtkomst till data och information samt förhöjd risk för säkerhetsincidenter på grund av bristande hantering av mobila enheter från användare. Avsaknaden av riktlinjer för konfiguration och underhåll av mobila enheter kan innebära en förhöjd risk att nivå av IT-säkerhet i mobila enheter inte är tillfredställande över tiden. Avsaknaden av en central inköpsprocess för mobila enheter kan innebära en risk att det inte är möjligt att applicera en baskonfiguration i form av säkerhetsinställningar för mobila enheter. Okunskap om vem som har tillgång till mobila enheter kan medföra en risk för obehörig åtkomst till känslig information och data. 1. Säkerställ implementation och efterlevnad av central policy för mobila enheter. 2. Utvärdera behovet av att upprätta och dokumentera mer detaljerad vägledning för hur mobila enheter ska administreras över tiden vad gäller säkerhetsinställningar, rutiner och tekniskt stöd för underhåll samt kontroller för efterlevnad. 3. Utvärdera behovet av att komplettera den centrala policyn med riktlinjer för hur mobila enheter införskaffas, vilka typer av mobila enheter som är tillåtna i verksamheten (ej BMC) och behovet av att dokumentera enheter i form av ett register för inventering. 2 UFV 2013/907 5

6 medges under kontrollerade former. Tekniskt skydd av lokala servrar Den utförda granskningen har utvärderat tekniskt skydd på lokala och centrala servrar som används av mobila enheter för lagring av information och data. Patch-hantering, typ av server och rutiner för säkerhetskopiering variera något i de fyra granskade enheterna. Alla enheterna använder sig av samma antivirusprogram med automatisk uppdatering. Processen för patch-hantering är inte formaliserad och dokumenterad och processen är i nuläget inte fullt automatiserad för alla de granskade enheterna. Alla granskade enheter använder samma tekniska lösning för säkerhetskopiering men det har inte gått att verifiera att säkerhetskopiering görs baserat på verksamhetens krav på acceptabla nivåer av dataförlust. Nuvarande rutiner för patch-hantering kan innebära en förhöjd risk för att lokala servrar inte har ändamålsenliga säkerhetsinställningar över tiden. Om konfiguration av backuprutiner inte utförs baserat på verksamhetens acceptabla nivåer av dataförlust kan det innebära en risk för permanent dataförlust. Det kan också innebära att verksamheten inte utnyttjar backup lösningen optimalt och eventuellt tar för stora backuper och backup för ofta, vilket resulterar i högre kostnader för backuphantering. För Rudbecklaboratoriet är det tekniska skyddet för lokala servrar byggt på att undvika en single-point-of failure och back-up tas genom en kombination av olika lösningar vilket minskar risken för avbrott och dataförluster. 4 Alla granskade enheter utom Rudbecklaboratoriet rekommenderas att implementera mjukvara för automatisk patch-hantering på lokala servrar. 5 Alla enheter rekommenderas att säkerställa och konfigurera backuprutiner utifrån verksamhetens faktiska krav på acceptabla nivåer av dataförlust för att säkerställa ändamålsenliga och effektiva backuprutiner av lokala servrar. 6

7 Tekniskt skydd av bärbara datorer Granskningen visade på tillfredsställande rutiner inom alla granskade enheter vad gäller antivirusprogram, sårbarhetsövervakning från centralt håll via Säkerhetsavdelningen och destruktion av hårddiskar från bärbara datorer. Däremot fanns det inte inom någon enhet krav på att bärbara datorer ska ha ett krypteringsskydd av hårddisken och granskningen visade att bärbara datorer saknar krypteringsskydd på externa portar vilket medför att användare har möjlighet att extrahera information och data till olika typer av standard lagringsenheter. Granskningen visar att det är vanligt förekommande att användare har full behörighet att installera program och modifiera inställningar i operativsystemet på den bärbara datorn då användaren har lokala administratörsrättigheter. Patch-hantering sköts med automatik inom alla enheter men inom Nationalekonomi kan användaren välja att stänga av automatiken. Endast inom BMC sker en automatisk säkerhetskopiering av data som lagras lokalt på bärbara datorer. Inom de andra enheterna är det upp till den enskilde användaren att hantera säkerhetskopiering av filer. Avsaknad av krypteringsskydd på bärbara datorer kan medföra en förhöjd risk för dataförlust. En krypterad hårddisk betyder att även om man tar ut hårddisken och sätter in den i en annan dator måste man ha en nyckel för att kunna återläsa data till klartext, d.v.s., se filsystemet och dess filer. Lokala administratörsrättigheter på bärbara datorer för användare medför en förhöjd risk för att icke godkända program och skadlig kod kan installeras på datorn, vilket kan resultera i förlust av data eller andra typer av säkerhetsincidenter. Avsaknad av en automatiserad process för säkerhetsuppdateringar kan medföra en risk för säkerhetsincidenter eller skadlig kod installeras på datorn. Då beslutet om säkerhetskopiering ligger hos den enskilde användaren finns det en risk att automatiserade rutiner för säkerhetskopiering inte konfigureras, vilket kan resultera i permanent förlust av data. 6 - Utvärdera behovet att installera krypteringsskydd för de datorer där användaren hanterar någon form av känslig information för att minska risker med otillåten åtkomst till data. 7. Utvärdera att begränsa lokala administratörers rättigheter på bärbara datorer med syfte att minska risk för installation av icke godkända program samt minska risken för installation av skadlig kod. 8 Lagerträdet, Nationalekonomi och Rudbecklaboratoriet rekommenderas att överväga att införa automatiserade rutiner för säkerhetskopiering. 7

8 Tekniskt skydd av mobiler och surfplattor När det gäller mobila enheter finns det ingen rutin för baskonfiguration för operativsystemet Android eller operativsystemet IOS för Apple enheter. För Windows Surface enheter finns det en viss baskonfiguration. Säkerhetskopiering på mobila enheter administreras av den enskilde användaren. Om användarna själva använder sin personliga mailadress för att skapa en säkerhetskopia via de inbyggda applikationerna kommer dessa att laddas upp i användarens personliga lagringslösning hos antingen Apple- eller Androidtillverkaren. Regler och rekommendationer för mobila enheter (nedan kallade Reglerna) stipulerar endast att användaren bör föra över information till annan lagring vid behov. För smartphones har institutionen/intendenturen inte i dagsläget någon kapacitet eller möjlighet att fjärrradera en mobil enhet. Den möjligheten finns dock centralt om mobilen har anslutits till mailservern Microsoft Exchange som centralt påtvingar dessa regeluppsättningar för slutanvändaren. I kapitlet Säkerhet i Reglerna sägs att anitivirusprogram också bör kunna användas för att lokalisera, låsa och radera en enhet. Det finns dock inga antivirus eller malware-applikationer installerade på enheterna om detta inte görs av användaren själv. Det är svårt att veta hur många smartphones universitetet äger och var dessa befinner sig på grund av att dessa inte är dokumenterade i en inventarielista utan införskaffade av enskilda medarbetare. I dagsläget finns därför inga processer att samla in smartphones eller surfplattor och radera data om inte slutanvändaren själv anmäler detta eller kommer in med enheten. Den utförda granskningen har inte påvisat Då användaren har ett ökat ansvar i att administrera sin smartphone eller surfplatta, kan avsaknad av riktlinjer för säkerhetshantering eller otydliga sådana, resultera i en förhöjd risk för förlust av data samt en ökad risk för säkerhetsincidenter. Reglerna bedöms som relativt otydliga på flera punkter och ger inte den direkta vägledning som användaren kan behöva i vissa frågor, t.ex. vilken typ av lagring som lämpar sig för säkerhetskopiering. Om enheten kommer bort och inte har säkerhetskopierats på rätt sätt finns risk för dataförlust. Användaren kan då inte återställa data till en ny enhet. Om användarna använder sin egen personliga adress för säkerhetskopiering kan data kommas åt även om den anställde har slutat på universitetet och backupen finns då utanför universitetets jurisdiktion vilket inte är tillfredsställande. Om informationen är krypterad minskas risken att den kommer i orätta händer. Universitetets Regler ger dock ingen vägledning i huruvida smartphones bör kryptera informationen eller inte. Om inte fjärradering är möjlig ökar risken att obehöriga kommer åt information och data om den mobila enheten kommer i orätta händer. Även om det finns funktionalitet att fjärradera en smartphone eller surfplatta krävs att funktionen är påslagen. Om ett externt minneskort har använts på enheten är det möjligt att via minneskortet få åtkomst till data även om telefonen är avstängd då inga säkerhetsmekanismer finns för att kryptera minneskort. För universitetet finns det risk för att få in virus om det inte finns något antivirusprogram eller liknande på de mobila enheterna. Om uppdatering av programvara inte har utförts kan dessa faktorer utnyttjas av personer som har kännedom om 8

9 att det finns några automatiska rutiner för uppdateringar av mjukvara och installation av säkerhetsuppdateringar. Det är enligt Reglerna upp till den enskilde användaren av telefonen eller surfplattan att själv hantera eventuella uppdateringar. Ingen förteckning från institution/intendentur finns att tillgå för användaren när det gäller vilka applikationer som får laddas ner. Man följer de riktlinjer för programvara som är utställt från centralt håll. Reglerna anger att den enskilde endast ska ladda upp de applikationer det finns behov av. Det finns möjlighet att använda olika typer av mjukvara för mobila enheter då det finns en modul för detta i produktportföljen vilket innebär att det ur ett centralt perspektiv vore möjligt att övervaka mobila enheter för otillåten mjukvara. sårbarheter för ett visst operativsystem, speciellt för Android-enheter då vissa Android enheters mjukvara inte uppdateras av tillverkarna själva. 9 - Etablera en central inköpsprocess för smartphones och surfplattor med syfte att säkerställa att endast godkända enheter införskaffas och nyttjas i verksamheten; enheter som uppfyller verksamhetens krav avseende baskonfiguration och säkerhet. En central inventarieförteckning bör också upprättas Utvärdera behovet av att aktivera kryptering av de telefoner och surfplattor som köps in Implementera mjukvara för att kunna radera smartphones och surfplattor vid en eventuell förlust Implementera mjukvara för antivirus skydd på smartphones och surfplattor för att minska risken för säkerhetsincidenter Implementera modul mjukvara för att centralt distribuera uppdateringar till mjukvaran samt övervaka installerade program och inställningar i mobila enheter. Efter en eventuell implementation är det möjligt att pusha ut uppdateringar och fixpacks samt att stänga ned access till nätverket för en smartphone eller surfplatta. 9

10 Tekniskt skydd på mobila lagringsenheter USB-minnen och externa hårddiskar Den utförda granskningen har inte kunnat påvisa att det finns dokumenterade riktlinjer med tekniska krav på externa minnen så som USB minnen eller externa hårddiskar. Det är upp till den enskilde användaren att själv administrera skydd för lösenordshantering eller kryptering på externa lagringsenheter. Avsaknad av skydd för inloggning samt kryptering på externa lagringsenheter innebär att lagringsenheter kan anslutas till vilken dator som helst och därmed tillgängliggöra information som lagras på lagringsenheten vilket kan resultera i permanent förlust av känslig data samt obehörig åtkomst och modifiering av information. 14 -Utvärdera eventuella risker med att inte konsekvent applicera inloggningsskydd och kryptering på externa lagringsenheter Etablera en central standard för externa lagringsenheter där endast lösenordskyddade och krypterade externa lagringsenheter är möjliga att använda för bärbara datorer Om det finns önskemål att använda externa lagringsenheter rekommenderas att inköpet gå via en central inköpspunkt och där lagringsenheten krypteras och lösenordskyddas. Bärbara datorer kan konfigureras att endast fungera tillsammans med godkända mobila lagringsenheter. 10

11 Granskning av installerade versioner i förhållande till senaste version av tekniskt skydd med syfte att utvärdera rutiner för underhåll PwC har inte kunnat utvärdera installerade versionen för tekniskt skydd för mobila enheter (smartphones och surfplattor) jämfört med senaste versioner för sådant skydd eftersom förutsättningar saknas för att centralt utvärdera vilka versioner av OS och säkerhetsuppdateringar en enhet använder. Det saknas en central mjukvara för att övervaka mobila enheter. För bärbara datorer och lokala servrar övervakas området centralt från centrala ITavdelningen på Uppsala Universitet och följer centrala rutiner för förändringshantering för underhåll och säkerhetsuppdateringar Avsaknad av central övervakning av programinstallationer, konfiguration och säkerhetsinställningar för mobiler och surfplattor kan medföra en förhöjd risk för permanent dataförlust samt förhöjd risk för säkerhetsincidenter Implementera mjukvara för central övervakning av programinstallationer, konfiguration och säkerhetsinställningar för smartphones och surfplattor. 11