Söderhamns kommun. Granskning av IT-säkerhet. Revisionsrapport. KPMG Bohlins AB 11 oktober 2006 Antal sidor: 9

Transkript

1 KPMG Bohlins AB 11 oktober 2006 Antal sidor: KPMG Bohlins AB, the Swedish member firm of KPMG International, a Swiss cooperative. All rights reserved.

2 Innehåll 1. Sammanfattning 1 2. Bakgrund Allmänt Risk och väsentlighet Förtydligande av begreppet IT Förutsättningar 3 3. Syfte och avgränsning Syfte Avgränsning 4 4. Metod 4 5. Resultatet av granskningen Vad är IT-strategens roll och vad är omfattningen på dennes ITsansvar 2006? Finns det numera en av kommunfullmäktige fastställd IT-spolicy för kommunen? På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna IT-en i sin verksamhet? I eventuell brist på IT-sinstruktioner från kommunens systemägare vilka IT-shänsyn tar Söderhamn Teknikpark AB vid drift av kommunens system och infrastruktur? 8

3 1. Sammanfattning Det finns delvis en medvetenhet i kommunen om vad IT- är och vad det innebär för verksamhetens bedrivande. Vem som innehar ansvaret framgår av ett beslut med sitt ursprung från början av 2000-talet. Det är förvaltningscheferna som har ansvaret enligt IT-strategin. Vår granskning visar att kunskapen om var ansvaret ligger är oklar, framför allt hos medarbetare med lokalt IT-ansvar. De flesta tror att det är IT-strategen vilken inte har något formellt ansvar. Det finns en formellt antagen policy för IT-en. En av flera till policyn hörande riktlinjer och planer, konkretiserande dokument, finns ute på en remissrunda hos kommunens förvaltningar. Övriga dokument saknas i dagsläget men några är under framtagande. Det är oklart när de kommer att vara klara och beslutade. Vi bedömer att kännedomen om dokumenten som styr ITen är svag inom kommunorganisationen. Kommunfullmäktige kan sägas ha varit aktivt i IT-sarbete i så motto att en ITspolicy har beslutats. IT-strategen har inget formellt ansvar för IT-en men har tagit fram förslaget till IT-spolicyn och arbetar med att ta fram därtill hörande riktlinjer. Vi bedömer med ledning av intervjusvaren att förvaltningschefsnivån inte aktivt agerat för ITen vare sig enskilt eller som del av ledningsgruppen för kommunen. Det finns formellt sett inte längre ett IT-råd till vilket det bl.a. hänvisas i IT-spolicyn. IT-ansvariga utför en viss form av IT-sarbete och vi anser att det till största delen har sitt ursprung i egna initiativ. IT-sarbetet bedrivs inte efter några dokumenterade planer, resurstilldelningen (personal och tid) är oklar. Arbetet vilar inte heller på någon form av dokumenterad riskanalys vilket kan vara orsaken till att kontroller av efterlevnad görs i ringa eller ingen omfattning. Det finns ingen systemsplan (enligt IT-spolicyn) för något av kommunens högst väsentliga verksamhetssystem. Söderhamn Teknikpark (STP) utför inte enligt den överenskommelse om IT-drift mm som de har med kommunen någon som helst kontroll av IT-en. Tjänsteutbudet innehåller inte sådana tjänster alternativt ingen tilläggsbeställning och specificering av sådana har gjorts av kommunen som köpare. Vi uppfattar det som att STP följer IT-policyn generellt som professionella utövare av sitt uppdrag däremot torde de lida av brist på riktlinjer (konkretisering av policyn) enär dessa ännu inte är framställda och beslutade. Det föreligger omfattande brister i de rutiner som skall säkerställa en god IT- i kommunen Ansvariga bör snarast sätta in åtgärder för att först och främst säkerställa en ändamålsenlig nivå på IT-en för sin IT-plattform och sina verksamhetskritiska system. Ansvaret är tydligt definierat nu återstår att skyndsamt planera, prioritera och lyfta arbetet till den nivå som krävs för att inte verksamhetsstörningar skall bli kostsamma. 1

4 2. Bakgrund 2.1 Allmänt KPMG har av s revisorer erhållit i uppdrag att granska kommunens rutiner för hur den styr, utreder, inför, upprätthåller och kontrollerar IT-en i sin verksamhet. 2.2 Risk och väsentlighet Revisionen bedömer att det finns risk för att det föreligger brister i de rutiner som skall säkerställa en god IT- och att det därför är väsentligt att klarlägga på vilket sätt och i vilken form kommunfullmäktige, -styrelse och -ledning samt operativt ansvariga styr IT-sarbetet. Det är även väsentligt att veta vilka riskbedömningar IT-sarbetet vilar på, hur regler, anvisningar etc. rörande sarbetet implementeras, kommuniceras, underhålls samt hur efterlevnaden av beslutad IT- kontrolleras. 2.3 Förtydligande av begreppet IT- För att klarlägga vad som menas med IT- lämnas nedan en kortare förklaring med tillhörande illustration. Vi vill därmed tydliggöra begreppet så att avgränsningen av och syftet med granskningen skall bli så klar som möjligt. Person Fysisk Säkerhet Informations Administrativ Administrativ IT- ADB Kommunikations Fysisk Logisk Fysisk Logisk Informations är en vid hantering av information för önskad tillgänglighet, riktighet, sekretess och spårbarhet, den delas upp i administrativ och IT-. Administrativ uppnås huvudsakligen med hjälp av administrativa regler och rutiner. IT innebär i IT-systemen och delas upp i ADB- (eller ännu hellre uttryckt data), innebärande skydd av data och system mot obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling och kommunikations. Det senare innebär i samband med överföring av information och styrsignaler. Syftet med den är att 2

5 förhindra att information inte kommer obehöriga till del, att informationen inte förvanskas eller inte når mottagaren men också att felaktig information inte introduceras i kommunikation och system. Med fysisk i samband med data- och kommunikations menas skyddet av själva utrustningen och kommunikationsvägarna. Med logisk menas skyddet av innehållet i systemen. 2.4 Förutsättningar I KPMG: s revisionsrapport Granskning av kommunens sarbete framgår det att inom IT-sområdet finns: Väsentliga brister i styrning, organisation och ansvar, dokumentering av teknisk infrastruktur och enskilda IT-system. Flera krav i IT-spolicyn som inte är åtgärdade. Upprättade sinstruktioner som vare sig är kompletta eller anpassade till moderna krav. Otydligheter i ansvarsfördelningen mellan kommun och Söderhamn Teknikpark AB/IT Hälsingland. 3. Syfte och avgränsning 3.1 Syfte Det har gått över ett år sedan rapporten om sarbetet i kommunen presenterades och vår granskning har haft som syfte att ge svar med kommentarer på följande frågor: Vad är IT-strategens roll och vad är omfattningen på dennes IT-sansvar 2006? Finns det numera en av kommunfullmäktige fastställd IT-spolicy för kommunen? Har policyn även fått genomslag i de kommunala bolagen? Om inte, vad är orsak till detta? På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Oavsett förändringar det senaste året, hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna, med ansvar för de, för kommunen, väsentligaste datorstödda verksamhetsstöden, IT-en i sin verksamhet? I eventuell brist på IT-sinstruktioner från kommunens systemägare vilken ITshänsyn tar Söderhamn Teknikpark AB/IT Hälsingland vid drift av kommunens system och infrastruktur? 3

6 3.2 Avgränsning Granskningen skall omfatta kommunen samt i tillämpliga delar Söderhamn Teknikpark AB/IT Hälsingland. 4. Metod Som metoder har dokumentstudier och intervjuer att använts. Granskningen från KPMG har utförts av Lars Anteskog. Magnus Larsson har deltagit i granskningen genom sin roll som KPMG: s kundansvarig för biträdet till kommunrevisorerna. en har saklighetskontrollerats av kommunens IT-strateg 5. Resultatet av granskningen Nedan följer noteringar och kommentarer från granskningen uppdelat på de punkter som redovisas under syfte ovan. Granskningen baseras sig på tillhandahållen dokumentation samt intervjuer av IT-strateg, driftansvarig på Söderhamn Teknikpark (hädanefter STP), IT-ansvariga/systemadministratörer för Procapita-systemet (Barn- och utbildningsförvaltningen samt Socialförvaltningen för respektive del) och PA-systemet IFS. Förvaltningschefen för Socialförvaltning har även intervjuats. 5.1 Vad är IT-strategens roll och vad är omfattningen på dennes ITsansvar 2006? Rollen som IT-strateg har funnits i kommunen sedan november Det finns idag fortfarande ingen dokumenterad och formellt beslutad omfattning av tjänsten. I platsannonsen under rekryteringsskedet beskrevs tjänsten så att IT-strategen skulle leda, samordna och driva kommunens strategiska IT-utveckling vilket också skulle innebära ett antal operativa ansvar. Med kommunen skulle förstås hela koncernen. Som stöd skulle IT-strategen ha ett särskilt IT-råd. Säkerhet i allmänhet eller IT- i synnerhet nämns inte annonsen. I IT-strategens egen beskrivning av de uppgifter och ansvar han anser sig uppbära för dagen förekommer ansvar för kommunövergripande IT-sfrågor I den eget definierade målsättningen med tjänsten nämns bl a att ta fram IT-spolicy samt att följa upp och revidera IT-strategi. Det är i dokumentet IT-startegi för daterad januari 2000 (Dnr KS/1999/0268) som det står att läsa vem som ansvarar för IT-en i kommunen/kommunkoncernen. Det framgår tydligt att ansvaret för IT generellt ligger i linjen. IT-rådets sammansättning och uppgifter framgår även den av strategin, inget nämns dock om i allmänhet eller IT- i synnerhet. IT-ansvarigs roll beskrivs i strategin men återigen inget om IT-. På sjunde och sista sidan av dokumentet under rubriken Säkerhet och sårbarhet sägs Överstyrelsen för civil beredskap ÖCB föreskrifter FA22 utgör underlag för kommunen. Säkerhet och sårbarhet omfattar: Behörighet, datakommunikation, drift, avbrottsplanering 4

7 och driftgodkännande. Detaljerade riktlinjer upprättas och antas av IT-rådet. Detta är allt som sägs. Vad som framgår av intervjuerna så existerar inte IT-rådet längre och det sedan länge. Den enda dokumentation som kommer från IT-rådet som vi finner i vår dokumentinventering är en odaterad broschyr benämnd Riktlinjer för IT-användning. Som framgår nedan så är IT-strategin inte det dokument som är känt av de intervjuade, förutom IT-strategen, för att ange och definiera ansvaret för IT-en i kommunen. Kommentar Det är uppenbart så att från IT-strategins antagande till dags dato så har IT-en tappats bort. Det må vara så att IT-strategin fortfarande gäller men när det kommer till den IT-srelaterade textmassan får den anses otydlig, ofullständig och till myndighets- och föreskriftshänvisning felaktig. Operativt ansvariga för IT-en är idag förvaltningscheferna utan formellt stöd från IT-strategen eller en sammanslutning jämförbar med det avvecklade IT-rådet. IT-strategen har på eget initiativ tagit på sig uppgiften att sammanställa och få en fastställd ITspolicy. Sakta men säkert publiceras nu också de riktlinjer som medarbetare i kommun skall leva efter. En av tre riktlinjer finns som utkast på remissrunda. Några systemsplaner är ännu inte framtagna. Om kommunledningen anser att IT-strategen till någon del skall ansvara för IT-en så skall det tydligt definieras, dokumenteras i beslut och kommuniceras. Är det så att dessa beslut påverkar vad som framgår av nu gällande dokument så skall de i erforderlig omfattning revideras och det nya innehållet formellt beslutas och tydligt meddelas de som nu har hela ansvaret och eventuellt andra som kommer att få det. Med andra ord, IT-strategen har idag inget formellt uppdrag, eller ansvar, för IT-en. Ett självpåtaget ansvar kan iakttas och det arbetet som lagts ned får anses som ändamålsmässigt om än inte på långa vägar fullständigt. Arbetet uppfattas ha utförts med knappa resurser och med ett intresse från formellt ansvariga som inte står proportion till ämnets betydelse för verksamhetens bedrivande. 5.2 Finns det numera en av kommunfullmäktige fastställd ITspolicy för kommunen? Ja det finns numera en av kommunfullmäktige fastställd IT-spolicy. Policyn togs i kommunfullmäktige (Dnr KS/2003/0382). Policyn är till skillnad från IT-strategins del om IT- modern och i all väsentlighet ändamålsenlig. Vi noterar att verksamhetsansvariga fortfarande är operativt ansvariga för IT-en. Som nämnts ovan om ITstrategens ansvar för IT- så noterar vi att IT-strategen enligt policyn inte har någon roll i eller ansvar för IT-sarbetet. Som också nämnts ovan så saknas fortfarande två av tre riktlinjer, IT-sinstruktion för förvaltning och den för drift. Vi har heller inte i vår granskning sett några bevis för att det bedrivs något formellt ordnat arbete i enlighet med policyn. Här tänker vi närmast på att IT-sarbete skall bedrivas så att det blir en del av 5

8 kommunens normala verksamhet. Årliga mål för arbetet skall därför beslutas och framgå av kommunens verksamhetsplanering. De årliga målen som beslutats skall förtydligas av ITberedningsgruppen vars existens och sammansättning är okänd för de intervjuade, förutom ITstrategen. Det är möjligen effekten av att IT-spolicyn med ledning av intervjusvaren inte kan anses vara väl känd i kommunen. Kommentar Det är positivt att se att IT-sarbetet utan formell styrning ändå tar sig framåt. Det är negativt att kunna konstatera att kunskapen om att den policy som styr är så illa bekant och därmed inte efterlevs. Kommunledningen måste bringas att förstå att utan en formalisering och ett tydliggörande av ITsarbetet är det bara en tidsfråga innan en incident inträffar vars direkta och/eller indirekta konsekvenser kan medföra kostsam skada för kommunen och/eller för dess medborgare. ITsarbete är inte enbart en uppgift för enskilda medarbetare att utföras på allt för begränsad tid, renons på kollegor och utan tydlig styrning och därtill hörande utbildning. Utan väl fungerande datoriserade verksamhetsstöd fungerar inte kommunen effektivt och ändamålsenligt, vi finner det därför svårt att förstå hur ansvariga kan motivera att verksamheten skall bedrivas under bristande sarrangemang. Det pågår vad vi förstår ett arbete inom kommun för att stärka den interna kontrollen samt även ett s.k. kompetensutvecklingsprojekt. Vi finner det vara en naturlig åtgärd att i dessa kommunövergripande åtgärder aktivt och tydligt inkorporera IT-sarbete. De allra flesta verksamhetskritiska processer i en kommun involverar ett datoriserat verksamhetsstöd vilket torde göra det naturligt att även ta hänsyn till IT-risker när kontrollbehov identifieras och kontroller utformas. För att säkerställa att kontrollerna förstås och utförs ändamålsenligt ställer det rimligtvis krav på inte enbart ren verksamhetskännedom hos individen utan också på en utökad förståelse för hur IT påverkar processerna samt vilka riskerna är och hur de åtgärdas eller hanteras med kompletterande och/eller kompenserande kontroller. 5.3 På respektive ansvarsnivå, vilka åtgärder har man planerat att utföra och vad har genomförts det senaste året med anledning av srapporten? Vi har förvisso endast intervjuat en förvaltningschef, men det i kombination med information från IT-strategen ger vid handen att det på kommunledningsnivå i närtid inte tagits några initiativ. Initiativ på förvaltningschefsnivån lyser med sin frånvaro. Vi kan skönja en viss aktivitet bland första linjens chefer och bland dem som är IT-ansvariga. Att den senare aktiviteten skulle ha sitt ursprung från vad som uppmärksammats i srapporten finner vi inga bevis på. Vi ser det snarare som en effekt av att professionella medarbetare som baserat på handgriplig kunskap och riskmedvetenhet efter bästa förmåga och tillgängliga resurser infört metoder och procedurer för att lokalt säkerställa IT-en. 6

9 Kommentar Kommunen har tillgång till intresserade medarbetare som tar IT-en inom sitt ansvarsområde på allvar. Det blir inte alltid ett fullständigt arbete grundat på en fullständig förståelse till det saknas ofta någon som helst utbildning, både grundläggande och vidareutvecklande. I detta sammanhang är det tråkigt att konstatera kännedomen om de styrande dokumenten för IT är svag och att engagemanget och styrning från ansvariga inte syns vare sig dokumenterat eller uppföljt i utfört arbete. Konsekvensen av detta blir att IT-sarbetet utförs utan en adekvat riskanalys. En intresserad och grundläggande kunnig personal som är ändamålsenligt styrd, utbildad och kontrollerad har alla de möjligheter att effektivt bidra till att IT-relaterade incidenter kan undvikas eller att negativa effekter av uppkomna fel minimeras. 5.4 Hur styr, utreder, inför, upprätthåller och kontrollerar förvaltningscheferna IT-en i sin verksamhet? Av det som framkommer vid granskningen så indikerar det att förvaltningscheferna inte aktivt, riktat och planlagt utför något IT-sarbete. Det är som redan nämnts ovan, initiativ tagna på strategnivå i kombination med IT-ansvariga, som styr det arbete som planeras och utförs. Någon ordnad och systematiserad kontroll av att IT-sföreskrifter efterlevs utförs inte. Ett konkret bevis på detta är att inga systemsplaner upprättats och man har inte tagit till vara det allmänna och kostnadsfria material som finns att tillgå hos Krisberedskapsmyndigheten. Det finns på myndigheten gott om nyttig och arbetsbesparande, dessutom i många fall kostnadsfri, information ända ner på mallnivå. Något som kan liknas vid ett underlag eller embryo till en generell kommunövergripande systemsplan har under utbildningsformer tagits fram av kommuns förvaltningar och STP. Underlaget benämns från förvaltningarna Tjänstebeskrivning och hos STP Tjänstekatalogen. Tjänstebeskrivningen var inte känd av alla intervjuade trots att den är förutsättningen för IT-drift och supporttjänster för kommunen och är specifikationen av de tjänster som köps av STP. Tjänstebeskrivningen omfattar inte alla i kommunen i drift tagna system. Förvaltningarna köper ur sperspektivet en standardiserad tjänst utan anpassning till enskilt system och verksamhetens behov. Beskrivningen av tjänsterna är allmänt hållen och ospecificerad när det gäller IT-. Vi kan i Tjänstebeskrivning inte notera några hänvisningar till de dokument som styr IT-en. Det som nämns om saknar förtydligande om hur, när och varför kontroller utförs och dokumenteras och på vilket sätt och omfattning resultatet av dessa rapporteras till köparen av tjänsten. Det är uppenbart så att IT-en inte har beaktats när dokumentet upprättats. Intervjuerna visar också att förvaltningarna inte på något sätt kontrollerar om något av det srelaterade utförs. Det framkommer vid granskningen att IT-ansvariga upptäckt att information som man förutsatt blev skopierad inte blev det. Det är utanför avgränsningen för denna granskning men vi kan konstatera att köpet av STP: s tjänster inte på något sätt formaliserats. Ur IT-sperspektivet innebär det att kommunen köper tjänster som inte följer några IT-sföreskrifter. Detta innebär risk för att förvaltningarna, fortfarande ur IT-sperspektivet, köper tjänster som per egen brist på kunskap 7

10 och initiativ är undermåliga. Det kan även vara så att man köper tjänster som är dyrare än de behöver vara i förhållande systemets betydelse. Kommentar Förvaltningar bör gemensamt skapa resurser för att snarast färdigställa, kommunicera och utbilda ansvariga och medarbetare i användandet av beslutade styrande dokument för IT-en. Tydliggör ansvarsrollerna på förvaltningarna samt IT-strategens roll och ansvar i IT-sarbetet. Budgetera och planera arbetet på ett sätt som erbjuder möjlighet att följa hur arbetet utvecklar sig. Som köpare av tjänster från STP bör förvaltningarna specificera och formalisera beställningen på ett sådant sätt att det lämnar möjlighet att kontrollera att det som köps även utförs. Köp tjänster och stöd av STP om kunskapsbrist finns för att göra riskanalyser och välja kontrollåtgärder. Det slutgiltiga beslutet om tjänsteinnehållet måste dock alltid vara förvaltningens. För att exemplifiera vad som nämnts ovan beakta följande: Hur säkerställer socialtjänsten och andra förvaltningar som hanterar integritetskänslig information att skopior av sådan information förvaras och hanteras på sådant sätt att externa (lagar, regler, rekommendationer etc.) och interna föreskrifter efterlevs? Har berörda förvaltningar specificerat sina krav till STP? Om kraven inte specificerats vilka kontroller utför man för att säkerställa att STP: s hanteringen ändå över tid är att betrakta som ändamålsenlig? Om den anses ändamålsenlig vem har då tagit det beslutet och hur har det dokumenterats? För att konkretisera det ytterligare: Magnetmedia som används för skopiering är förbrukningsmaterial. Vilka krav har förvaltningarna som hanterar integritetskänslig information ställt på STP när det gäller hur utrangerad magnetmedia skall hanteras? Får den återvinnas eller skall den destrueras? Säkerhetskopierad information övergår inte sällan till att vara arkiverad information. Vilka krav ställs på att skopior och arkivkopior skall vara läsbara under den tid de behöver existera? 5.5 I eventuell brist på IT-sinstruktioner från kommunens systemägare vilka IT-shänsyn tar Söderhamn Teknikpark AB vid drift av kommunens system och infrastruktur? Av intervju framgår att STP inte besöks av personal från någon förvaltning med uppdraget att säkerställa att köpta tjänster ur IT-sperspektivet utförs ändamålsenligt. STP utför inga särskilda IT-skontroller med mindre än att de är specificerade och beställda av kunden (förvaltningen). Enligt STP: s Tjänstekatalog så finns det inga definierade IT-srelaterade tjänster att köpa. Så som vi tolkar vad som sägs i Tjänstekatalogen så är det möjligt att för en förvaltning att enskilt köpa tjänster av STP. STP erbjuder så kallade Servicenivåkontrakt (SNK) att tecknas med ansvarig beställare hos kunden. Så som vi uppfattar det har STP idag endast ett SNK med och det är baserat på Tjänstebeskrivningen och gäller för kommunens ITplattform, för all personal och skolans elever samt sju namngivna verksamhetssystem. Med andra ord uppfattar vi att STP inte har något ansvar för IT-en annat än att de rimligtvis följer kommuns IT-spolicy. Konkretiseringen av IT-spolicyn, IT-sinstruktionerna för drift respektive förvaltning, som skall ge STP vägledning i deras verksamhet fanns vid granskningstillfället inte upprättade och driftsatta. Vi uppfattar det som att STP är väl medvetna 8

11 om innebörden och betydelsen av IT-. Vi bedömer med ledning av intervjun att STP, om krav/önskemål framställs, kan tillgodose de IT-skrav som beställs av kommunen/förvaltningen/systemägaren. Kommentar Det är olyckligt att kunna konstatera att IT-en inte finns med på ett konkret och tydligt sätt när beställaren överenskommer med leverantören om leverans av IT-drift. Detta innebär rimligtvis att medarbetare på STP inte utnyttjas aktivt i IT-sarbetet annat än att de efter eget skön och baserat på professionell kunskap påtalar brister när de upptäcks. Vi ser ingen anledning till att inte använda STP: s kunnande i kommunen när det gäller att informera, bygg upp samt kontrollera att en ändamålsenlig och formellt beställd IT- efterlevs. Överväg, för relationen mellan kommunen centralt och STP, att som första steg påskynda framtagande och godkännande av återstående IT-sinstruktioner. Att de är på plats är väsentligt när systemsplanerna för i första hand de verksamhetskritiska systemen i kommunen finns framme som underlag till IT-såtgärder. Falun dag som ovan KPMG Bohlins AB Magnus Larsson Kundansvarig Lars Anteskog Projektansvarig 9