Granskning av intern IT - säkerhet. Juni 2017

Transkript

1 Landskrona stad Granskning av intern IT - säkerhet Juni 2017

2 Bakgrund och syfte 2

3 Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder och fasta fullmäktigeberedningar. Kommunstyrelse och facknämnder ska förvalta och genomföra verksamheten i enlighet med fullmäktiges uppdrag, lagar och föreskrifter. För att fullgöra uppdraget måste respektive organ bygga upp system och verktyg för ledning, styrning, uppföljning, kontroll och rapportering samt säkerställa att dessa verktyg tillämpas på avsett sätt. En bristfällig styrning och kontroll kan riskera att verksamheten inte bedrivs och utvecklas på avsett sätt. Revisorerna har uppmärksammat att risker och hot från det framväxande digitala landskapet, cyberrisker, får ökande uppmärksamhet från både företag och myndigheter. Detta främst orsakat av de senaste årens snabba digitala utveckling med följande exponering mot Internet samt ökad användning av smartphones och andra bärbara enheter hos medarbetare, både privat och i yrkeslivet. Ökad aktivitet bland kriminella och andra antagonistiska aktörer bidrar också starkt till den växande hotbilden. Man har från såväl näringsliv som offentlig sektor insett att den hot- och riskbild som växer fram behöver tolkas och göras begriplig så att relevanta och balanserade motåtgärder kan vidtas. I grund och botten handlar det om behovet att skydda sig mot angripare som oavbrutet arbetar för att hitta nya vägar att stjäla, förstöra eller på annat sätt manipulera informationstillgångar eller informationsinfrastruktur. Revisorerna har i sin riskanalys för 2017 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillfredsställande gällande obehörigt intrång och har därför gett ett uppdrag att granska området. 3

4 Syfte och revisionsfråga 4

5 Syfte och revisionsfråga Har kommunstyrelsen säkerställt att Landskrona stads nuvarande tekniska IT-säkerhet är tillräcklig och tillfredsställande för att reducera risker för obehörigt intrång till acceptabel nivå? Kontrollfrågor 1. Upptäcks en eventuell attack och hanteras den av IT-personalen på ett rimligt tillvägagångssätt? 2. Har Landskrona stad externa säkerhetsåtgärder som förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån Internet? 5

6 Granskningsmetod 6

7 Extern penetrationstest En teknisk säkerhetsgranskning är ett sätt att testa IT-säkerheten genom att utföra realistiska attacker mot verkliga system. Syftet med dessa test har varit att lokalisera sårbarheter och svagheter vilka skulle kunna utnyttjas av en extern angripare. Därför granskades miljön utifrån infallsvinkeln att angriparen befann sig utanför det interna nätverket. erhöll innan testernas initiering de aktuella IP-adresserna, vilka ägs och drivs av Landskrona stad. För att uppnå hög kvalitet och effektivitet i arbetet, arbetar med scenarion för olika typer av realistiska tester. Ett scenario innehåller hot, tillvägagångssätt och mål. Scenario Externa tester via Internet En extern hacker, utan djupare kunskaper om Landskrona stad, kartlägger organisationens närvaro på Internet. Målet är att bryta sig in i intressanta system exponerade mot Internet. 7

8 Genomförande Uppdraget genomfördes i tre steg: generell informationsinsamling, intrångsförsök samt rapportering och sammanställning. Omfattning Genom så kallad DNS-enumrering identifierades de system i Landskrona Stads IT-miljö vilka var exponerade mot Internet, dessa system ansågs vara nominerade. Informationsinsamling Ett flertal verktyg användes inledningsvis för att kartlägga resurser på Landskrona stads nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Dessutom samlades information in från publika källor, så som kommunens hemsida, för att bistå vid de senare intrångsförsöken. Intrångsförsök Intrångsförsök gjordes för att påvisa att de potentiella säkerhetsbristerna som identifierades under informationsinsamlingen var reella sårbarheter. Intrångsförsöket genomfördes med minimal inblandning av driftspersonal hos Landskrona Stad. 8

9 Resultat av penetrationstesten 9

10 Extern penetrationstest Den externa penetrationstesten visar på 5 sårbarheter av medium risk. Flera av dessa sårbarheter återfanns i upp till 3 system. Se bilaga 1 för närmare beskrivning av riskgradering. Exempel på funna sårbarheter: Publicering av externa resurser. Flera externt publicerade resurser ser ut att sakna önskvärda skydd såsom Pre-authentication i DMZ med utelåsningsmekanism, vilket ämnar skydda Active directory från lösenordsgissning med brute force/dictionaryattacker samt Denial of Service (DOS) genom utlåsning av konton. Om tjänstekonton blir låsta påverkar det tjänsterna som använder dem. Enkel gissning av användarnamn. Då man begär nytt lösenord via e-post avslöjar den externt publicerade resursen Heroma Webb om det angivna användarnamnet återfinns bland giltiga användare eller ej. Detta underlättar för en angripare som önskar gissa användarnamn/syntax och senare utföra lösenordsattacker genom exempelvis brute force. Poodle CVE SSL implementationen för webbapplikationen Familjeportalen är sårbar för poodle. En attack skulle kunna innebära att en angripare kommer åt känslig information såsom lösenord, cookies eller liknande genom att genomföra en så kallad Man-in-the-middle attack. 10

11 Extern penetrationstest (forts.) Sammanfattningsvis bedriver Landskrona stad, med externa leverantörer, ett gott säkerhetsarbete. Jämfört med andra kommuner i liknande storlek ligger Landskrona stads resultat över genomsnittet. En del sårbarheter och konfigurationsbrister bör dock adresseras för att minimera risken för intrång. Exempelvis anser att man bör se över externt publicerade resursers autentisering. Dessa bör ha låsningsmekanismer vilka låser konton efter ett visst antal inloggningsförsök. Denna låsning bör endast gälla för externa inloggningsförsök så att det interna AD-kontot ej kan låsas från Internet. Något som är viktigt att ta i beaktande är att denna granskning endast ger en ögonblicksbild av den befintliga säkerhetsnivån och det krävs att man ständigt arbetar med IT-säkerheten. Detaljerat resultat och rekommendationer avseende penetrationstesten finns i den sekretessbelagda rapporten som har överlämnas direkt till IT-avdelningen. 11

12 Extern penetrationstest (forts.) Svar på kontrollfrågorna 1. Upptäcks en eventuell attack och hanteras den av IT-personalen på ett rimligt tillvägagångssätt? fick inga tecken på respons från IT-avdelningen i samband med att penetrationstesten genomfördes. Detta kan dock förklaras med att man inte lyckades ta sig in på insidan. Hade man däremot tagit sig in, eller fortsatt med interna penetrationstester, så ska larm gå och personal agera om sådana system och rutiner finns på plats. 2. Har Landskrona stad externa säkerhetsåtgärder som förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån Internet? Ja, :s bedömning är att Landskrona stad har externa säkerhetsåtgärder som förhindrar enkel åtkomst från Internet. 12

13 Bilaga 1 13

14 Riskgradering Gradering Hög Medel Låg Information Beskrivning En sårbarhet med hög risk är något man bör åtgärda omedelbart. Dessa sårbarheter är relativt lätta för en angripare att utnyttja och kan förse denne med full access till de berörda systemen. En sårbarhet med medel risk är oftast svårare att utnyttja och ger inte samma tillgång till det drabbade systemet. En sårbarhet med låg risk ger ofta information till en angripare som kan hjälpa denne i kartläggningen inför en attack. Dessa bör åtgärdas i mån av tid, men är inte lika kritiska som övriga brister. En teknisk eller administrativ brist som bör åtgärdas, eller ett förslag på förbättring

15 Kontaktuppgifter 15

16 Kontaktuppgifter Niklas Ljung Projektledare n iklas.ljung@pwc.com Ronald Binnerstedt Penetrationstestare ronald.binnerstedt@pwc.com All rights reserved. Not for further distribution without the permission of. "" refers to the network of member firms of PricewaterhouseCoopers International Limited (I L), or, as the context requi res, individual member firms of the network. Each member firm is a separate legal entity and does not act as agent of IL or any other member firm. I L does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member firms nor can it contr ol the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professional judgment or bind another member firm or I L in any way.