Revisionsrapport: Informationssäkerheten i den tekniska miljön

Transkript

1 1(11) Styrelse och rektor Revisionsrapport: Informationssäkerheten i den tekniska miljön SAMMANFATTNING Internrevisionen (IR) har granskat och lämnar förslag till förbättringar inom området för den tekniska miljön på LiU-IT. De delar som innefattats i granskningen har varit säkerhetskopiering, åtkomst- och loggningsrutiner, nätverkssäkerhet, incidenthantering och fysiskt skydd. IR bedömer att LiU-IT till stora delar har godtagbara säkerhetsrutiner för hantering av informationen. Däremot är inte alla rutiner och säkerhetskrav dokumenterade, vilket ökar sårbarheten genom ett ökat personberoende samt att det inte går att säkerställa att det finns en fungerande uppföljning. Det pågår även ett stort arbete vid universitetet att klassificera samtliga informationssystem utifrån krav på systemens konfidentialitet, riktighet och tillgänglighet. Detta kommer att påverka LiU-IT:s arbetssituation med nya och förändrade krav på informationshanteringen. IR har granskat hur LiU-IT har förberett sig för denna förändring. IR vill särskilt framhålla vikten av att framtagande av riskanalyser för LiU- IT:s verksamhet och en gemensam plats för samling av dokumenterade kontinuitetsplaner prioriteras av LiU-IT för att få en gemensam riskbild och handlingsplan för att undvika och hantera informationssäkerhetsrisker. Nedan redovisas i prioritetsordning de mest angelägna förslagen till förbättringar inom området: samla och dokumentera riskvärderingarna, genomför en riskanalys av den egna verksamheten och kommunicera denna till berörda parter samla och dokumentera kontinuitetsplaner samt genomför en analys av kontinuitetsplanerna för att säkerställa fullständigheten i de samlade kontinuitetsplanerna.

2 2(11) se över behörighetshanteringen till datorhallarna och inför skyndsamt en rutin för att säkerställa att det endast är behörig personal som har tillträde till datorhallarna. informera beställaren att uppdraget avseende återläsningskontrolller inte kan göras till fullo. IR:s samtliga rekommendationer återfinns under avsnitt 5 och dess underrubriker. 1. Bakgrund Enligt styrelsebeslut ska internrevisionen granska informationssäkerheten avseende något eller några av de centrala administrativa systemen under Internrevisionen har under år 2009 granskat de administrativa rutinerna i de centrala administrativa systemen avseende områden som policy, organisation och regelverk, behörighets- och lösenordshantering samt kontroll/övervakning. Riksrevisionen har också genomfört en informationssäkerhetsgranskning under 2009 med inriktning på den interna styrningen och kontrollen av informationssäkerheten. Sammanfattningsvis har dessa revisioner haft iakttagelser på bland annat ändringshantering, uppföljning av servicenivåer, behörighetshanteringen, kontroll/övervakning, avsaknad av riskanalyser och ett ofullständigt ledningssystem för informationssäkerhet (LIS). Detta har bland annat fått till följd att LiU tagit fram ett LIS, en ny informationssäkerhetspolicy samt en ny förvaltningsmodell, vilka beslutats av universitetsledningen under denna revisions genomförande och är i implementationsstadiet. 2. Riskbedömning LiU-IT är en servicefunktion för hantering och lagring av information för hela universitetet, förutom system som är outsourcade eller hanteras endast på institutionsnivå. En grundläggande förutsättning för organisationen är att informationen hanteras på ett säkert sätt så att informationen inte förvanskas, är tillgänglig och tillgänglig endast för behöriga personer. Om dessa förutsättningar inte är uppfyllda finns risk att felaktiga beslut fattas, information utnyttjas i bedrägligt syfte och att effektiviteten minskar vilket riskerar att skada universitetet såväl anseendemässigt som finansiellt.

3 3(11) 3. Syfte och avgränsning Syftet med granskningen är att göra en utvärdering av de tekniska säkerhetsrutinerna på LiU-IT för att bedöma om: ansvar och befogenheter är klarlagda regler och riktlinjer efterlevs och följs upp interna regler och riktlinjer är tillräckliga för ett fullgott skydd informationen hanteras på ett säkert sätt Granskning innefattar inte den administrativa informationssäkerhetsprocessen enskilda applikationer IT-drift på institutioner systemutvecklingsprocessen 4. Metod Intervjuer har genomförts med chef på LiU-IT, ansvariga på avdelningarna Systeminfrastruktur(SI) och Teknisk systemförvaltning och utveckling(utf) och Nät, IRT & telefoni samt IT-tekniker /systemadministratör på SI. Studie av interna regler och riktlinjer (Ledningssystem för informationssystem, Förvaltningsmodell för informationsbehandlande system, informationssäkerhetspolicy, uppdragsbeskrivning Teknisk drift administrativa system 2010, Serverdrift 2011, IRT 2011 och Centrala nätet 2011 ) samt information från LiU:s hemsida. Bedömning av överenstämmelse i arbetssätt med relevanta delar i ISO 27002:2005, Riktlinjer för styrning av informationssäkerheten. Förordningen (2007:603) om intern styrning och kontroll (FISK). Förordningen MSBFS (2009:10) Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet. ESV:s handledning Intern styrning och kontroll

4 4(11) 5. Granskningsresultat Organisatoriskt är LiU-IT ett område inom Universitetsförvaltningen (UF) som på uppdrag av rektor utvecklar och underhåller gemensamma system för kommunikation, administration och datasäkerhet, levererade som ITtjänster åt fakulteter, institutioner och övriga enheter på LiU. LiU-IT ansvarar för drift och underhåll av gemensamma funktioner som e- post, fillager, nätverk, telefoni samt IT-stöd till anställda och studenter. Såväl de centrala administrativa systemen som institutionsspecifika system är beroende av att informationen hanteras på ett säkert sätt på LiU- IT. Internrevisionen har därför inriktat denna granskning mot informationssäkerheten i den tekniska miljön på LiU-IT. De delar som innefattats i granskningen har varit säkerhetskopiering, åtkomst- och loggningsrutiner, nätverkssäkerhet, incidenthantering och fysiskt skydd. Universitetsledningen har som tidigare nämnts beslutat om ett LIS, en ny informationssäkerhetspolicy samt en ny förvaltningsmodell för informationsbehandlande system i november Genom dessa beslut ställs krav på informationsklassningar och riskanalyser på samtliga system på universitetet. Informationssäkerhetsansvaret för respektive system/objekt är också på ett klart uttalat sätt utpekat på objektägaren och det övergripande ansvaret för informationssäkerhetsarbetet är informationssäkerhetssamordnaren. Objektägare för de universitetsgemensamma ITbaserade infrastruktursystemen som LiU-IT förvaltar är IT-direktören, som inte ingår i LiU-IT:s organisation. För närvarande pågår arbetet att klassificera och riskanalysera samtliga informationssystem inom universitetet. Detta arbete kommer att påverka LiU-IT genom att varje system som LiU-IT hanterar kommer att ha specifika krav på hantering utifrån konfidentialitet, riktighet och tillgänglighet. IR har därför också granskat om LiU-IT har förberett sig för att hantera de nya/förändrade krav som kommer att ställas på avdelningen. Detta genom att undersöka om LiU-IT har riskanalyser och kontinuitetsplaner för sin verksamhet. 5.1 Riskanalyser enligt förordningen för intern styrning och kontroll (FISK) Målet med en god intern styrning och kontroll är att ge ledningen förutsättningar att uppnå verksamhetens mål. I en delegerad organisation som Linköpings universitet är det viktigt att de risker som förekommer på respektive avdelning analyseras, rapporteras och eventuellt hanteras för att inte riskera att beslut tas på felaktiga underlag.

5 5(11) LiU-IT har inte upprättat någon riskanalys över sin verksamhet. Det görs dock riskvärdering på olika områden men man har ingen samlad bild över denna riskvärdering. Detta gör att det inte är möjligt att bedöma om alla risker som hotar avdelningens mål är identifierade och hanterade vilket kan innebära såväl direkta som indirekta hot mot informationssäkerheten. Det har dock framkommit att LiU-IT tillsammans med objektägaren påbörjat ett arbete med att se över riskerna utifrån kraven i LIS. Rekommendation: Eftersom LiU-IT hanterar stora delar av verksamheternas informationstillgångar samt att ökade/förändrade krav från verksamheterna kommer i samband med klassningarna av systemen/objekten, bedömer IR att LiU-IT bör prioritera arbetet med att samla och dokumentera riskvärderingarna, genomföra en riskanalys av sin egen verksamhet och kommunicera denna till berörda parter för att hantera eventuella svagheter. Detta i syfte att säkerställa att underlag för beslut är korrekta. 5.2 Kontinuitetsplan Målet med en kontinuitetsplanering är enligt ISO 27002:2005 att motverka avbrott i organisationens verksamhet och att skydda kritiska verksamhetsprocesser från verkningar av allvarliga fel i informationssystem eller katastrofer och att säkra återstart inom rimlig tid. LiU-IT saknar en sammanställning över befintliga kontinuitetsplaner. Det finns säkerhetsrutiner för vissa delar såsom exempelvis incidenthantering och säkerhetskopiering men det saknas en samlad plats där de dokumenterade säkerhetsrutinerna finns. Det har framkommit i intervjuer att en översyn av dokumentationen är i gång och att man arbetar på att samla dokumentationen på ett ställe samt att öka redundansen såväl tekniskt som personellt inom definierade riskområden. IR ser positivt på att detta arbete är påbörjat. Rekommendation: IR bedömer att LiU-IT bör prioritera arbetet med att samla och dokumentera kontinuitetsplanerna samt genomföra en analys av kontinuitetsplanerna för att säkerställa fullständigheten i de samlade kontinuitetsplanerna.

6 6(11) 5.3 Incidenthantering Informationssäkerhetspolicyn definierar en informationssäkerhetsincident som en eller en serie händelse/r som med stor sannolikhet riskerar att äventyra verksamheten och hota informationssäkerheten. Övergripande krav på incidenthanteringen är att rapportering av incidenter ska ske till IRT-gruppen för utredning, att inträffade informationssäkerhetsincidenter används vid riskanalysarbete samt att testning av säkerhetsbrister ska ske. Enligt informationssäkerhetspolicyn nämns också vikten av snabb respons på informationssäkerhetsincidenter för att minimera skada för verksamheten. Ansvaret för incidenthantering ligger på alla användare avseende rapporteringsdelen och IRT-gruppen ansvarar för hantering och tester av incidenter. LiU-IT har en icke formaliserad process för rapportering av incidenter, där incidenter dokumenteras och rapporteras till IRT-gruppen. IRT:s ansvar enligt uppdragsbeskrivningen IRT är att vid akuta situationer på en enhet som hotar drift/säkerhet för resten av nätet se till att enheten kopplas bort från LiU:s datornät. Avseende IRT:s ansvar att skydda systemen och vid behov stänga ner system/enheter som hotar drift/säkerhet för hela nätet har det framkommit att detta skydd endast gäller under kontorstid eftersom IRT-gruppen inte har jour/beredsskapstjänst eller att ansvaret övergår till någon annan utanför kontorstid. IR rekommenderar att: riskerna med att IRT:s ansvar vid akuta situationer stänga ner system/enheter som hotar drift/säkerhet för hela nätet endast gäller under kontorstid utvärderas. 5.4 Åtkomstrutiner höga behörigheter i DB-hotellet Informationssäkerhetspolicyn fastställer kontrollåtgärder som krävs för behörighetshantering. Bland annat nämns att behörigheter skall upphöra vid anställningens avslut och att det finns rutiner för gallring av behörigheter i samband med anställningens avslutande. För system med högre krav på konfidentialitet krävs även en formell och dokumenterad rutin för tilldelande och återtagande av behörigheter och att verksamma inom universitetet endast har tillgång till det som behövs för sin anställning. Varje objektägare är ansvarig att kontrollåtgärderna verkställs.

7 7(11) Höga behörigheter definieras här som behörigheter som har möjligheten att påverka informationen i databaserna genom databashanteraren. På LiU-IT används databassystemen Oracle och MSSQL för att hantera databaserna. Ansvaret på SI-avdelningen för tilldelning av rättigheter till databaserna har databasadministratörerna (DBA). Det arbetssätt man arbetar efter är att minsta möjliga rättigheter tilldelas och man är restriktiv med utdelande av höga behörigheter. Återtag av rättigheter sker när behovet upphör dvs personen slutar eller byter arbetsuppgifter. SI-avdelningen har uttalat ansvar för tilldelning/återtag av höga behörigheter och tilldelningen bygger på minsta möjliga rättigheter för att klara sina arbetsuppgifter. IR anser att SI-avdelningen i detta avseende har ett bra arbetssätt. Det saknas dock en formell rutinbeskrivning med ansvarsfördelning över hur tilldelning och återtag av rättigheter ska gå till och att det därmed finns risk att personal som byter arbetsuppgifter alternativt slutar inte får sina behörigheter indragna om DBA:n inte får denna information. IR rekommenderar SI-avdelningen att: formalisera processen för tilldelning/återtag av behörigheter där en klar ansvarsfördelning framgår. 5.5 Loggning i DB-hotellet Enligt informationssäkerhetspolicyn Kontrollåtgärder för loggning och behandlingshistorik nämns bland annat att relevant loggning av systemhändelser i operativsystem och systemnära programvara utgör en viktig förutsättning för upptäckt och utredning av informationssäkerhetsincidenter. Loggar bör övervakas regelbundet med manuell inspektion och/eller automatiska metoder och loggfiler skall skrivas till en särskild loggserver. För särskilt skyddsvärda system gäller också att samma individ som administrerar server eller förvaltar system ej ska ha behörighet att modifiera eller gallra redan skrivna loggar. Ansvaret för verkställandet åvilar objektägaren. Eftersom priviligierade rättigheter i databaserna har möjlighet att påverka informationen i databaserna är det viktigt att det finns säkerhetsrutiner för övervakning och skydd av databaserna. Loggning av operatörsaktiviteter är ett reaktivt sätt att övervaka. Den loggning som sker är att i Oracles databaser loggas de privilegierade inloggningarna och avseende MSSQLs databaser loggas misslyckade inloggningar.

8 8(11) IR bedömer att det saknas en heltäckande dokumenterad loggningsrutin med ansvarsfördelning för övervakning och uppföljning, uttalade krav på vad som ska loggas samt hur länge de ska sparas vilket försvårar förutsättningar att genom loggrapporter upptäcka och utreda informationssäkerhetsincidenter. Avseende separation av loggfiler till loggserver separeras inte loggfiler i Windowsservrarna (MSSQL) på separat server. IR rekommenderar: LiU-IT att se över sina loggningsrutiner utifrån kraven på möjlighet att upptäcka informationssäkerhetsincidenter genom loggrapporter. LiU-IT undersöka möjligheterna att utifrån kraven i informationssäkerhetspolicyn separera loggfiler även i Windowsservrarna 5.6 Nätverkssäkerhet Informationssäkerhetspolicyn tar upp kontrollåtgärder för nätverkssäkerhet. Där behandlas bland annat att LiU:s datornät ska övervakas med målsättning att upptäcka informationssäkerhetsincidenter. Ansvarig för verkställande är IT-direktören. Avdelningen för Nät, IRT och Telefoni ansvarar för åtkomsten till och användningen av LiU:s nätverk. Som hjälpmedel använder man sig bland annat av nätscanning för kontroll av det egna nätet samt intrångsdetektering (IDS) som, beroende på hur den är konfigurerad, varnar vid externa intrångsförsök. Enligt intervju behöver IDS ses över för att minimera antalet falska varningar. Det vill säga varningar som avser normala händelser och inte utgör försök till intrång. IR rekommenderar: IRT-gruppen att införa en rutin för en anpassad konfigurering av IDS.

9 9(11) 5.7 Säkerhetskopieringsprocessen Informationssäkerhetspolicyn anger kontrollåtgärder för säkerhetskopiering. Där stipuleras bland annat att säkerhetskopiering ska ske av väsentlig information, att kopiorna ska var väl skyddade från stöld, skada och obehörig åtkomst samt att skriftliga rutiner för säkerhetskopiering ska finnas. Ansvarig är objektägare. Processen för säkerhetskopiering definieras här som att förutom säkerhetskopiering ingår även förvaring av kopior, säkerställande att återläsning av kopior fungerar och att frekvensen över hur ofta kopiering görs är tillräcklig för att möta verksamhetens krav på informationens riktighet och tillgänglighet. LiU-IT har en säkerhetskopieringsrutin som bygger på daglig inkrementell säkerhetskopiering i av alla system samt en total säkerhetskopiering veckovis alternativt månadsvis efter överenskommelse med respektive ansvarig. Det finns två säkerhetskopieringssystem där båda systemen garanterar dubbel säkerhetskopiering. Det ena systemet som är Unix/Linuxbaserat (TSM) kopieras på disk och på band och det andra som är Windowsbaserat (DPM) kopieras med så kallad dubbelparitet på disk. All säkerhetskopiering är automatiserad och det finns två personer ansvariga för respektive system för övervakning av säkerhetskopieringen. Den fysiska placeringen av säkerhetskopieringen är i annat hus skilt från datorhallen. Enligt uppdragsbeskrivningen Serverdrift ställs kravet på återställningstid på 4 timmar under arbetstid för alla system undantaget system med stor mängd data, i huvudsak fillagret som har 24 timmar som återställningstid av funktion. SI-avdelningen har nyligen infört en återläsningsrutin och kravet enligt uppdragsbeskrivningen Serverdrift är att alla system (ca 200) ska testas för återläsning minst 1gg/år. IR bedömer att säkerhetskopieringsprocessen är bra i de delar som rör den faktiska säkerhetskopieringen, dvs att säkerhetskopiering görs enligt överenskommen tidplan, att ansvar för övervakning av säkerhetskopiering är klarlagt och att dubbla kopior finns bevarade avskilt från original. i Ändringar och tillägg kopieras

10 10(11) Gällande återläsningstester anser SI-avdelningen det svårt att uppfylla uppdragsbeskrivningens krav med nuvarande bemanning och egna prioritetsbedömningar görs av vilka system som ska testas i första hand. Avseende frekvensen på säkerhetskopiering är kravet enligt uppdragsbeskrivningen 1gg/dygn. Teoretiskt skulle detta vid ett datahaveri kunna innebära en informationsförlust på 23 timmar och 59 minuter. I uppdragsbeskrivningen saknas ett klargörande om det finns system, och i så fall vilka, som har krav på acceptabla informationsförluster som understiger 24 timmar. IR rekommenderar att: beställaren, utifrån en riskvärdering, beslutar om eventuella åtgärder för att skydda sig från risken för informationsförluster med hänsyn taget till frekvensen av säkerhetskopiering. LiU-IT informerar beställaren att uppdraget avseende återläsningskontroller inte kan göras till fullo. 5.8 Fysisk skydd datorhall Riktlinjer enligt ISO 27002:2005 beskriver bland annat att informationstillgångarna i största mån bör skyddas från såväl fysiska tillgrepp som miljömässiga skador såsom exempelvis brand, vatten och avbrott i elförsörjning. Informationssäkerhetspolicyn behandlar kontrollåtgärder för fysiskt skydd av tekniska lokaler. Där utpekas varje objektägare som ansvarig för det fysiska skyddet av tekniska lokaler. LiU-IT driver tre stycken datorhallar vid Linköpings Universitet (G-huset, A-huset och Norrköping). Enligt uppdragsbeskrivningen Centrala nätet ingår ansvaret för det fysiska skyddet av datorhallar i detta uppdrag. Det finns ett beslut från som chefen för Nät, IRT & Telefoni har skrivit avseende kriterier för att få tillträde till datorhallarna i Linköping. Utöver egen personal har även representanter för fastighetsägaren och säkerhetsvakter access till lokalerna. Datorhallen i G-huset är skyddad genom att brandsläckare, reservelektricitet (UPS) håller ca 1 timma, automatisk vattenburen kylning av datorhall och SMS- och maillarm vid onormal temperatur och/eller luftfuktighet. A- husets datorhall är skyddad genom handbrandsläckare, UPS, rökdetektorer samt luftkylning. Båda hallarna visade på god ordning, bra uppmärkning av servrar, inga lösa sladdar eller uppställningsförråd. Enligt intervju

11 11(11) är datorhallen i Norrköping den modernaste och en förebild vid eventuell ombyggnad/flytt av någon datorhall i Linköping. IR har besökt de två hallarna i Linköping. Båda datorhallarna är låsta och det behövs LiU-kort tillsammans med godkänd kod för tillträde. När det gäller beslutet om tillträde till datorhallarna är detta beslut inte till sin helhet infört då LiU-IT inväntar en flexiblare teknisk lösning för gallring av behörigheter. IR bedömer att den fysiska säkerheten avseende miljömässiga hot i huvudsak är god med undantag av behörighetsrutinen för tillträde till datorhallar. IR rekommenderar att: LiU-IT ser över behörighetshanteringen till datorhallarna och skyndsamt inför en rutin för att säkerställa att det endast är behörig personal som har tillträde till datorhallarna. Margareta Fallsvik Leif Blomberg