Övergripande IT- och informationssäkerhet

Transkript

1 Övergripande IT- och informationssäkerhet Landstinget Dalarna 4 februari 2011 PwC Technology Risk Services Jon Arwidson Magnus Olson-Sjölander Christian Svensson

2 Sammanfattning På uppdrag av de förtroendevalda revisorerna har PwC fått i uppdrag att granska den övergripande hanteringen av IT-säkerhet. För landstinget är idag IT en central och kritisk komponent för att kunna bedriva vårdverksamheten på ett effektivt och ändamålsenligt sätt. Allt ifrån redovisning till daglig vårdverksamhet är beroende av ett ändamålsenligt IT-stöd. Syftet med denna granskning är att översiktligt belysa IT-säkerhet inom landstingets IT-verksamhet och bedöma om den säkerhetsnivå som upprätthålls kan anses rimlig. Granskningen avser besvara följande övergripande revisionsfråga: Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt? Den grundläggande metoden har varit ett kvalitativt angreppssätt med översyn av styrande dokument och djupintervjuer med ett antal nyckelpersoner. De metoder PwC tillämpat vid granskningen har utgjorts av valda delar av PwC Technical Review Methodology (TRM) och PwC IT Risk and Diagnostic Tool (ITRD) där intervjuer samt granskning av dokumentation utgör de mest centrala momenten. PwC har identifierat tre huvudområden för förbättring; roller och ansvar inom organisationen, klassificering av IT-system samt säkerhet inom infrastrukturen. Inom organisationen noterar vi att roller och ansvar är otydligt definierade. Oklarheter råder kring vem som har det normativa ansvaret gällande IT-säkerhet. Vidare råder osäkerhet kring vem som har mandatet att följa upp de policies och riktlinjer som av landstinget finns fastställda. Inte heller finns en utsedd person med mandat att fullt ut arbeta med IT-säkerhet. De IT-råd som har upprättats för att hantera styrning av olika delar av landstingets IT-verksamhet uppfattas i vissa delar att ha en otydlig funktion och syftet med råden är inte fullt ut kommunicerade. IT-säkerhetsarbetet rapporteras ad hoc till landstingsledningen d.v.s. en formaliserad och strukturerad uppföljning av IT-säkerhet saknas på landstingsövergripande nivå. IT-systemen inom landstinget utvärderas ej löpande med ett etablerat riskbaserat angreppssätt. Systemen är inte riskklassificerade vilket försvårar prioritering vid incidenter och andra oavsiktliga avbrott. Avsaknaden av riskklassificering kan också innebära att landstinget har en för hög säkerhetsnivå på system som för verksamheten inte är verksamhetskritiska. Behörighetshanteringen i systemen är bristfällig då behörighetsnivåerna inte är tillräckligt finfördelade samt att en periodisk revidering av behörigheter ej genomförs. Då tydlig klassificering av systemen saknas minskar förutsättningarna för en ändamålsenlig hantering vid en eventuell krissituation. Vidare saknas rutiner för krishanteringen inom IT. IT-säkerhetsnivån avseende infrastrukturen, där nätverket är en av de inom IT mer centrala komponenterna, saknar segmentering, d.v.s. en användare som är 2 av 17

3 ansluten till nätverket har möjlighet att nå och logga in på samtliga system som är anslutna inom landstinget. Det utförs heller ingen uppföljning där Landstinget Dalarna kontrollerar hur verksamheten följer de policys och riktlinjer som finns. Landstinget Dalarna har inte heller ett formellt fattat beslut om vilket ramverk som skall gälla inom landstinget. Slutsatser och rekommendationer Avseende den övergripande revisionsfrågan, Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt?, är landstingets arbete med IT-säkerhet inte i alla delar ändamålsenlig. Landstinget Dalarna bör tydliggöra roller och ansvar inom IT, kopplat till ITsäkerhet, förvaltning och infrastruktur. Förutsättningarna för landstinget att arbeta mer strukturerat och proaktivt ökar väsentligt om roller och ansvar tydliggörs. Den nyligen genomförda omorganiseringen skapar bra förutsättningar för att skapa en tydligare och säkrare IT-miljö inom Landstinget Dalarna. Slutligen noterar vi att det finns stor kompetens kring IT-säkerhet inom Landstinget Dalarna vilken bör utnyttjas på ett bättre sätt. IT-säkerhetsfrågor bör vara inkluderade på agendan inom både IT och vården i större utsträckning än idag. Vi föreslår även att initiera ytterligare granskningar inom följande områden; - Penetrationstest (sk. hacking) är nätverket konfigurerat på ett för landstinget ändamålsenligt sätt? - IT-styrning sker arbetet inom IT på ett för landstinget ändamålsenligt sätt och ger IT-investeringarna motsvarande värde för landstinget? - Projektgranskning av journalinförandet kommer projektet att levereras inom budget och tidsplan? - Patientdatalagen efterlevs lagen inom landstinget? Nedan avsnitt sammanfattar resultatet av granskningen utifrån de särskilt formulerade frågorna. Avseende den övergripande revisionsfrågan, Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt?, kan det konstateras att landstingets arbete med IT-säkerhet inte i alla delar är ändamålsenlig. 3 av 17

4 Nedanstående tabell anger vår bedömning avseende de särskilda frågeställningarna; Nivå Beskrivning 1 Bristfällig och hög risk föreligger 2 I stora drag bristfällig och relativt hög risk föreligger 3 Delvis bristfällig och viss risk föreligger 4 I stora drag ändamålsenlig och relativt låg risk föreligger 5 Ändamålsenlig och låg risk föreligger Särskild fråga 2 Är landstingets organisation för arbetet med IT-säkerhet ändamålsenlig och effektiv? Nej, roller och ansvar är otydligt definierade och IT-rådens funktion är tvetydiga och svagt kommunicerade. Är styrande dokument, centrala och lokala riktlinjer och rutiner etc. ändamålsenliga? 4 2 Delvis, styrande dokument finns i stor utsträckning men uppfattningen avseende innehållet är tvetydig. De styrande dokumenten är även dåligt kommunicerade och ett formellt mandat saknas för att säkerställa efterlevnaden. Är rutiner och system för säkerhetsuppdateringar ändamålsenliga och effektiva? Hanteringen av säkerhetsuppdateringar sker ändamålsenligt på klienter. I övrigt sker uppföljning ad hoc eller inte alls. 4 av 17

5 2 Finns rutiner för hantering av virusutbrott, otillåtna intrång, allvarliga driftstörningar etc. avseende ansvar och kontaktvägar samt hantering av konsekvenser etc.? Nej, generellt finns inga rutiner för hantering av allvarliga driftsstörningar. Riktlinjer finns men är dåligt kommunicerade i verksamheten. Beaktas vikten av spårbarhet i systemen i tillräcklig omfattning? 2 2 Nej. Gällande vårdinformation är spårbarheten i form av loggar utbredd. ITinfrastrukturen (ex. operativsystem och databaser) saknar generellt loggar för spårbarhet. Är organisationens rutiner för uppföljning av efterlevnaden av regler, anvisningar etc. tillräcklig och effektiv? Nej, det finns idag ingen strukturerad uppföljning. 3 Används tekniska säkerhetssystem och program (t.ex. antivirussystem) på ett ändamålsenligt och effektivt sätt? Delvis. Säkerhets- och antivirusuppdateringar appliceras löpande för alla klienter, dock är detta inte lika utbrett hos servrarna. 2 Är rutiner för tillämpning, tilldelning, segmentering etc. av behörighetsnivåer ändamålsenliga och effektiva? Rutiner finns för vissa system men PwC har inte fått en entydig bild att detta gäller för alla system. 3 Finns rutiner som säkerställer att inte avsiktliga eller oavsiktlig förvanskning av data kan ske i t ex kommunikation mellan olika system? Ja men bristfälligt. T.ex. 3G korten ligger utanför och det finns WEP accesspunkter kvar i nätet. 2 Stödjer landstingets IT-infrastruktur en ändamålsenlig, heltäckande och effektivt IT-säkerhet? Nej, internt är nätet helt öppet och det finns en otydlig hantering av trådlösa nät. 5 av 17

6 3 Innehållsförteckning Beaktas säkerhetsaspekter (såsom t ex spårbarhet, segmentering av behörighetsnivåer, personalens önskemål om lätthanterliga system etc.) på ett ändamålsenligt sätt i planering och upphandling av nya system (t ex nytt journalsystem)? Nej inte idag men arbetet har påbörjats, t.ex. har IT-säkerhetssamordnaren blivit mer involverad i de olika planeringsfaserna för att ta mer hänsyn ska till säkerhetsaspekter. 1 Uppdraget Bakgrund Syfte och revisionsfråga Metod Intervjuade personer Avgränsningar Resultat Organisation Roller och ansvar Styrande dokument IT-system Riskhantering Klassificering av IT-system Behörighetshantering Krishantering inom IT Logghantering Infrastruktur Segmentering av nätverk Trådlösa nätverk Övriga observationer av 17

7 1 Uppdraget 1.1 Bakgrund Under senare år har frågan om riskhantering fått ökat genomslag. Att arbeta proaktivt för att undvika incidenter är numera en naturlig del av den dagliga verksamheten inom en organisation. En effektiv och framgångsrik riskhantering bygger på ett helhetstänkande. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t.ex. obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Sammantaget bidrar en strukturerad riskhantering till att öka förtroendet för verksamheten. För ett landsting är detta även viktigt ur ett patientsäkerhetsperspektiv. Hanteringen av risker inom IT-området får allt större betydelse då verksamheten blir allt mer beroende av stöd från IT-system. Inom landstingets verksamhet är användningen av IT utbredd och det finns en omfattande infrastruktur och ett stort antal system som hanterar alltifrån patientjournaler till löner. Ett strukturerat arbete med IT-säkerhet skapar förutsättningar för att proaktivt identifiera och hantera IT-relaterade risker. 1.2 Syfte och revisionsfråga Syftet med denna granskning är att översiktligt belysa riskerna inom landstingets IT-verksamhet och bedöma om den säkerhetsnivå som upprätthålls kan anses rimlig. Granskningen avser besvara följande övergripande revisionsfråga: Är landstingsstyrelsens arbete med IT-säkerhet ändamålsenligt? För att kunna besvara den övergripande revisionsfrågan ska ett antal särskilda frågeställningar besvaras: Är landstingets organisation för arbetet med IT-säkerhet ändamålsenlig och effektiv? Är styrande dokument, centrala och lokala riktlinjer och rutiner etc. ändamålsenliga? Beaktas vikten av spårbarhet i systemen i tillräcklig omfattning och är organisationens rutiner för uppföljning av efterlevnad av regler, anvisningar etc. tillräcklig och effektiv? Finns rutiner för hantering av virusutbrott, otillåtna intrång, allvarliga driftstörningar etc. avseende ansvar och kontaktvägar samt hantering av konsekvenser etc.? 7 av 17

8 Stödjer landstingets IT-infrastruktur en ändamålsenlig, heltäckande och effektivt IT-säkerhet? Används tekniska säkerhetssystem och program (t ex antivirussystem) på ett ändamålsenligt och effektivt sätt? Är rutiner för tillämpning, tilldelning, segmentering etc. av behörighetsnivåer ändamålsenliga och effektiva? Beaktas säkerhetsaspekter (såsom t ex spårbarhet, segmentering av behörighetsnivåer, personalens önskemål om lätthanterliga system etc.) på ett ändamålsenligt sätt i planering och upphandling av nya system (t ex nytt journalsystem)? Är rutiner och system för säkerhetsuppdateringar ändamålsenliga och effektiva? Finns rutiner som säkerställer att inte avsiktliga eller oavsiktlig förvanskning av data kan ske i t ex kommunikation mellan olika system? 1.3 Metod Den grundläggande metoden har varit ett kvalitativt angreppssätt med översyn av styrande dokument och djupintervjuer med ett antal nyckelpersoner. De metoder PwC tillämpat vid granskningen har utgjorts av valda delar av PwC Technical Review Methodology (TRM) och PwC IT Risk and Diagnostic Tool (ITRD) där intervjuer samt granskning av dokumentation utgör de mest centrala momenten. Dessa verktyg och ramverk är relativt omfattande, varvid de har anpassats till landstingets storlek och förutsättningar. Eventuella avvikelser har löpande stämts av med uppdragsgivaren. Med denna metod i kombination med PwC Audit Guidelines har PwC täckt in de mest väsentliga delarna av Landstinget i Dalarnas hantering av IT-säkerhet enligt de huvudområden som listats nedan: Övergripande styrning av IT-säkerhet Styrande dokument Spårbarhet Regelefterlevnad och uppföljning Roller och ansvar Incidenthantering Vid användandet av metoderna TRM och ITRD har planering av granskning, översyn av dokumentation, intervjuer, analys samt presentation av resultatet varit de mest centrala momenten. PwC har även undersökt hur ledningens syn på IT-säkerhet fått genomslag i verksamheten. På landstingsövergripande nivå har PwC också lyft frågeställningen kring hur landstingets arbete med IT-säkerhet är organiserat. En annan viktig del 8 av 17

9 som tagits i beaktande för att granska IT-säkerheten har varit att undersöka i vilken omfattning som roller, policys och riktlinjer har varit kända inom verksamheten. I tillägg till detta har fokus riktats mot att undersöka hur IT-säkerhetsarbetet inom landstinget följs upp avseende efterlevnad av kontroller, etablerade policys samt riktlinjer. Vidare har PwC försökt erhålla en bild kring verksamhetens uppfattning avseende informationssäkerhetsrelaterade frågor. 9 av 17

10 1.3.1 Intervjuade personer Namn Karin Stikå Mjöberg Jens Bergqvist Sören Lindblom Lennart Svensson Patrik Östman Tommy Forsmark Staffan Johansson Anita Holmer Mia Söderlund Lena Jönsson Marie Palevik Britt Knutas Kerstin Cederberg Ansvarsområde Landstingsdirektör, LT Dalarna IT Chef Informationssäkerhetssamordnare IT-säkerhetssamordnare, IT-enheten Driftchef IT-enheten Servicedeskchef, IT-enheten Systemägare VIS, Ledningsgruppen Huvudkontoret Systemförvaltare journalsystem (Melior, slutenvården) Systemförvaltare journalsystem (Profdoc, primärvården) Landstingsjurist Chef för IT-förvaltning och utveckling Katastrof och beredskapssamordnare Chefsjurist 1.4 Avgränsningar Anskaffning av ett nytt journalsystem som ska ersätta tre parallella journalsystem pågår. I granskningen har därför enbart begränsad vikt fästs vid nuvarande systems tekniska förutsättningar för att upprätthålla en hög säkerhetsnivå. Vidare har medicinsk teknik inte ingått i granskningen. 10 av 17

11 2 Resultat I detta kapitel redovisas de observationer som gjorts under de intervjuer som hållits med utvalda personer i Landstinget Dalarna. Indelningen nedan baseras på de observationer vi gjort under granskningen. 2.1 Organisation I denna sektion redovisas de organisatoriska observationerna avseende ITsäkerhet Roller och ansvar För att uppnå en god riskhantering avseende IT-säkerhet bör roller och ansvar vara tydligt definierade mellan och i stödverksamheterna. Ansvar bör tydligt kunna urskiljas och kommuniceras till berörda personer. Beroenden mellan funktioner med ett ansvar för IT-säkerhet bör vara kommunicerat och förankrat i organisationen för att uppnå en ändamålsenlig nivå av IT-säkerhet. Det råder en enighet hos de intervjuade personerna att ansvarsfördelningen är otydlig gällande roller och ansvar i IT-säkerhetsarbetet, både inom IT och mot ledningsstaben. Önskemål finns att Landstinget Dalarna ska införa en tydligare struktur inom organisationen där det blir extra tydligt hur roller och ansvar är fördelade gällande IT-säkerhet. Idag är det svårt att veta vem som har getts mandat att fatta beslut, vilket orsakar osäkerhet i alla delar av organisationen. Ett illustrerande exempel på detta är; endast viss revidering av brandväggsöppningar sker, vilket till stor del beror på att ingen vet vem som är ansvarig att hantera vilka portar som är öppnade för vilket system. En säkerhetschef har anställts med ett övergripande ansvar kring säkerhetsfrågor. Dock råder det oklarheter kring hur ansvaret för IT-säkerhet förhåller sig till det övergripande säkerhetsarbetet. Det är informationssäkerhetssamordnaren som idag har ansvaret att driva IT-säkerhetsfrågor vilket har gjorts i så stor utsträckning denne har kunnat, då det inte finns ett tydligt formulerat mandat kring ITsäkerhetsfrågor. Form för återrapportering saknas och IT- och informationssäkerhet rapporteras endast till landstingsledningen på ad hoc basis d.v.s en formaliserad och strukturerad uppföljning av IT-säkerhet saknas på landstingsövergripande nivå. Landstinget Dalarna har skapat IT-råd som är rådgivande gällande förvaltning och utveckling av IT. Det har visat sig att IT-rådens funktion inte är tydligt förankrat inom organisationen. T.ex. är uppfattningen om vad IT-råden ska användas till oklar inom organisationen. Det råder även delade meningar om vilka som ska ingå i IT-råden för att en effektiv utveckling och förvaltning av IT ska kunna ske. 11 av 17

12 Landstinget Dalarnas roller och ansvar gällande IT-säkerhetsarbetet samt förvaltning är otydligt fördelade. Landstinget Dalarna säger sig arbeta efter en förvaltningsmodell men denna förvaltning täcker enbart en övergripande nivå och hanterar inte de mer tekniska delarna av IT-förvaltningen, t.ex. saknar Landstinget Dalarna ett ramverk för IT-säkerhet att efterleva inom förvaltningen. Det är därmed svårt att få en klarhet i hur roll- och ansvarsfördelningen tillämpas inom organisationen, på vilka nivåer den är tydligt fördelad och kommunicerad och inom vilka delar av organisationen. Genom att roller och ansvar är otydligt definierade leder detta i sin tur till otydlighet gällande uppföljning och efterlevnad. Rapporteringsvägarna är otydliga, det är otydligt vem som har ansvaret att rapportera händelser och till vem rapportering ska ske. Uppföljningsansvaret blir också otydligt och det blir svårt att följa upp förändringar/åtgärder när det är oklart vem som ansvarar för utförandet Styrande dokument För att uppnå en målstyrd organisation är det viktigt att styrande dokument finns på plats vilka kommunicerar mål och riktlinjer och som gör det tydligt för verksamheten hur de ska gå tillväga vid ansvarstagande och beslutsfattande. Vad som generellt kan sägas om Landstinget Dalarnas styrande dokument är att många delar finns på plats, det finns en övergripande informationssäkerhetspolicy (vilken bygger på BITS) från vilket Landstinget Dalarna har definierat riktlinjer för informationshanteringen, se Figur 1. Figur 1: Informationssäkerhetspolicystruktur Vid en övergripande översyn verkar Landstinget Dalarna täcka de flesta aktuella områden gällande IT-säkerhet, samtidigt som, enligt egen utsago, inte har dokument för förvaltning, utveckling och infrastruktur på plats. BITS (Basnivå för Informationssäkerhet, rekommendationer från Myndigheten för samhällskydd och beredskap) och PM3 (förvaltningsstyrningsmodell för att organisera förvaltnings- 12 av 17

13 verksamhet på ett affärsmässigt sätt) upplevs inte kunna fungera tillsammans fullt ut. Det råder delade meningar kring vilka delar av de styrande dokumenten som finns på plats. Detta antyder att de styrande dokumenten inte är kommunicerade. Inte heller finns något beslut kring vilket ramverk för IT-säkerhet som Landstinget Dalarna faktiskt skall efterleva. De styrande dokumenten har vid granskningen inte heller visat sig vara uppdaterade eller reviderade i närtid. Många av de dokument PwC tagit del av har inte uppdaterats sedan länge. Landstinget Dalarna poängterar att en större revidering avseende informationshanteringsförändringar är pågående varvid förändringar gällande IT-säkerhetspolicy inte har prioriterats då dessa snabbt skulle bli inaktuella igen. Det utförs heller ingen uppföljning där Landstinget Dalarna kontrollerar hur verksamheten följer de policys och riktlinjer som finns på. Trots att det råder en tvetydighet gällande vilka styrande dokument som gäller är vår bedömning, utifrån den översiktliga granskningen, att många styrande dokument finns. Dock är dessa undermåligt kommunicerade och kunskapsnivån inom verksamheten är låg avseende styrande dokument. En bakomliggande faktor som av landstinget anges som orsaken till inaktuella styrdokument uppges vara att stora förändringar sker just nu inom landstinget. Vår bedömning är dock att förändringar alltid sker och detta är något som ständigt behöver beaktas i en organisation i Landstinget Dalarnas storlek. 13 av 17

14 2.2 IT-system I denna sektion redovisas de iakttagelser vi identifierat kopplat till IT-system inom Landstinget Dalarna Riskhantering Det är viktigt för en organisation att genomföra riskanalyser för IT-system för att fatta väl underbygda beslut genom t.ex. prioritering av utfall efter sannolikhet och påverkan samt kunna hantera verksamhetens risker proaktivt. Överlag genomförs inga fullständiga riskanalyser för Landstinget Dalarnas ITsystem, vilket innebär att Landstinget Dalarna vet mycket lite om vilka risker man är utsatt för och ännu mindre hur man ska hantera dessa. Exempelvis så har vårdinformationssystem analyserats men åtgärder för att hantera risker identifierade har inte fullt ut genomförts. Landstinget Dalarna vill fokusera på BITS men har hittills resonerat att de inte har haft tid att införa alla delar i BITS. Landstinget Dalarna säger sig ha genomfört BITS-analyser på infrastrukturen men koppling till verksamhetens bild kring säkerhetskrav saknas till viss del. Avsaknaden av kontinuerliga riskanalyser minskar Landstinget Dalarnas möjlighet att fatta rätt beslut avseende risker som verksamheten står inför. Ett konkret aktuellt exempel skulle kunna vara upphandlingen av ett nytt journalsystem Klassificering av IT-system En förutsättning för att arbeta ändamålsenligt med IT-säkerhet är att klassificering av IT-system sker. Då skapas förutsättningar för förvaltningen att prioritera insatser i den dagliga driften samt hitta rätt nivå på säkerhet, d.v.s hög eller låg. Vi har noterat att Landstinget Dalarnas IT-system saknar en klar klassificering (prioritetsordning) av IT-system. Detta har fått till följd att verksamheten inte vet hur systemen ska prioriteras/hanteras på ett adekvat sätt. Exempelvis är de svårt att fördela resurser vid planering av nya projekt, definiera vilka system som ska omfattas av striktare klassificering, vilka system som ska prioriteras vid en krissituation samt att säkerställa att system inte har en för hög nivå på säkerhet etc. Dokumentation för hur information skall klassas finns, vilket visar att försök har gjorts för att vägleda en klassificering men alltså inte utnyttjats fullt ut. 14 av 17

15 Att det inte finns en tydlig klassificering av IT-system medför komplikationer för förvaltning gällande IT-säkerhet. Det innebär komplikationer framförallt vid krissituationer där oklarheter kommer råda kring vilka system som skall prioriteras. Även att hitta rätt säkerhetsnivå baserat på riskerna kopplat till respektive IT-system blir svår, vilket kan leda till en för hög säkerhetsnivå på system som för verksamheten inte alls är kritiska Behörighetshantering För att uppnå en effektiv hantering av användare i Landstingets IT-system bör ett strukturerat angreppssätt för upplägg, förändring och borttag av behörigheter användas. Vidare bör uppföljning av behörigheter ske löpande. En tydlig strategi för användare med breda behörigheter bör finnas. Behörighetshanteringsprocesserna behöver ses över då det inte sker en kontinuerlig revidering av användare. Detta gäller även för konfigurering av för ITsäkerheten centrala komponenter såsom t.ex. brandväggar. Vi har vidare noterat att behörighetstilldelningen ofta är för bred, detta beroende på att när anställda byter position inom organisationen ges nya behörigheter till användaren men de får behålla de gamla utan att en utvärdering sker. Det är även så att de flesta av Landstingets system inte heller har en tillräckligt finfördelad behörighetstilldelning varför användare får tillgång till mer information och rätt att utföra förändringar än vad som krävs för att bedriva deras arbetssysslor. Vi har noterat att vissa system har fastställda rutiner för hantering av behörigheter. Landstinget Dalarna bör införa tydligare rutiner för att hantera användare och dess behörigheter Krishantering inom IT För att uppnå en effektiv hantering av t.ex. virusutbrott, otillåtna intrång och andra allvarliga driftstörninarg krävs att ansvaret är tydligt definierat, kontaktvägar är tydliga, och att hanteringen av incidenter sker strukturerat Vi har noterat att en tydlig och klart redogjord krishantering saknas. Den etablerade rutinen fungerar på individnivå men ett helhetstänkande saknas och beroendet till enskilda personer är stort. Övervakning av systemen saknas. En kontroll av aktiviteter på nätet ombesörjs av leverantören. Antivirusskydd används och är uppdaterat på klienter och servrar. Säkerhetsuppdateringar sker på klienter men är inte lika utbrett på servrar. Landstinget Dalarna bör etablera tydliga rutiner för krishantering inom IT. Dessa rutiner bör knytas an till landstingets övergripande hantering av kriser. 15 av 17

16 2.2.5 Logghantering Hantering av loggar är en viktig pusselbit för att lättare kunna spåra orsaker till incidenter samt för att proaktivt identifiera eventuella intrång/oegentligheter. Loggar är aktiverade för vissa av Landstinget Dalarnas system. Rutiner, utanför vårdinformationssystemet, saknas för uppföljning av loggar samt granskning av loggar sker ej i förebyggande syfte (ex. operativsystem och databaser). Landstinget Dalarna beaktar inte vikten av spårbarhet i tillräckligt stor utsträckning och rutiner gällande logghantering och rutiner för uppföljning av efterlevanden är inte tillräcklig. 2.3 Infrastruktur I detta stycke presenteras de huvudsakliga upptäckter som gjort gällande Landstinget Dalarnas infrastruktur Segmentering av nätverk För att förhindra felaktig åtkomst till känslig information bör nätverket segmenteras så att tillgången begränsas till känsliga system, resurser och information. Internt är Landstinget Dalarnas nätverk helt öppet, d.v.s segmentering saknas tillika begräsning med hjälp av lösenord eller dylikt, vilket i praktiken betyder att en användare inom Landstinget Dalarnas nätverk har möjlighet att försöka logga in mot samtliga system i nätverket. Det har tidigare funnits accesslistor för att begränsa åtkomsten på nätverket. Då infrastrukturen vid den tidpunkten var föråldrad lämpade sig denna strategi inte och blev administrativt krånglig och avvecklades. Idag är infrastrukturen uppdaterad och mer lämpad för striktare styrning av åtkomst inom nätverket. PwC anser att en segmentering av nätverket är kritisk för att uppnå en ändamålsenlig nivå på IT-säkerhet inom infrastrukturen Trådlösa nätverk Trådlösa nätverk har från ett användarperspektiv många fördelar t.ex. avseende mobilitet. Trådlös nätverksteknik kräver dock en väl genomtänkt strategi (kryptering etc.) för att säkerställa att inga obehöriga får åtkomst till nätverket. Det trådlösa nätverket inom Landstinget Dalarna hanteras inte på ett ur ITsäkerhets perspektiv ändamålsenligt sätt. Kontroll saknas över uppsatta 16 av 17

17 accesspunkter och samtidigt finns accesspunkter med undermålig kryptering, t.ex. vissa accesspunkter använder krypteringsmetoden WEP som inte tillhandahåller ett tillräckligt skydd för trafik med känslig information. Diskussioner pågår gällande att säkra upp hantering av trådlösa nätverk genom att införa ett nytt autentiseringssystem (802.1X) men det är oklart hur långt gångna dessa planer är. Vi har även noterat att 3G kort används i verksamheten, vilket är en användning utanför de fastlagda rutinerna. För att säkerställa ett effektivt och säkert användande av trådlöst nätverk vid t.ex. rondvagnar, behöver Landstinget Dalarna strukturera och säkra upp sina trådlösa nätverk. 2.4 Övriga observationer Vem som ansvarar för det normativa arbetet gällande IT-säkerhet upplevs som otydligt både i det dagliga arbetet men också kopplat till t.ex. upphandlingar av nya IT-system. Vi föreslår även att för framtida granskningar titta på följande områden; - Penetrationstest (hacking) är nätverket konfigurerat på ett för landstinget ändamålsenligt sätt? - IT-styrning sker arbetet inom IT på ett för landstinget ändamålsenligt sätt och ger IT-investeringarna motsvarande värde för landstinget? - Projektgranskning av elektronisk journalföring kommer projektet att levereras inom budget och tidsplan? - Patientdatalagen efterlevs lagen inom landstinget? 17 av 17