Höörs kommun. Granskning av IT-verksamheten Revisionsrapport

Transkript

1 Granskning av IT-verksamheten Revisionsrapport Offentlig sektor KPMG AB Antal sidor: 20 Olof Eriksson/Jan-Inge Hedin IT-verksamhet.docx 2009 KPMG AB, a Swedish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved.

2 Innehåll 1. Inledning Bakgrund och syfte Genomförande 1 2. Struktur och IT-organisation Framväxt Ansvarsområden IT-samverkan IT-enheten 3 3. Mål och strategier Styrdokument IT-råd Nämndernas mål 5 4. Uppföljning och rapportering 5 5. Service och rollfördelning 6 6. IT-säkerhet och generella kontroller Utgångspunkter Genomförande 7 7. IT-stödet Väsentliga stödsystem 7 8. Systemförvaltningen Inledning Systemförvaltningen vid Inköp och Faktura (Aditro) Systemförvaltningen vid Individ och Familjeomsorg (Procapita) IT generella kontroller Styrning av IS/IT-verksamheten Fysisk säkerhet Logiska accesskontroller Kontinuitetsplanering End-User Computing Sammanfattande kommentar och rekommendationer 16

3 1. Inledning 1.1 Bakgrund och syfte KPMG har av revisorer fått i uppdrag att övergripande granska hur kommunen styr och samordnar IT-verksamheten i kommunen samt hur IT-säkerheten upprätthålls och kontrolleras. Vid revisorernas övergripande granskning 2008 har det funnits synpunkter och frågor från några nämnder kring IT-verksamheten. Dataverksamheten är omfattande och av stor betydelse för att kärnverksamheten ska kunna bedrivas ändamålsenligt och effektivt. Samtidigt kan konstateras att verksamheternas beroende av ett fullgott IT-stöd är kritiskt ur säkerhetssynpunkt och rutinerna för samverkan och service i detta sammanhang är väsentliga. Projektet syftar till att granska: Mål, gemensamma uppgifter och system Interna överenskommelser och åtaganden Service och kvalitet Kontroll och säkerhet Uppföljning och utvärdering Utvecklingslinjer 1.2 Genomförande Granskningen har genomförts i två delar. Vi har översiktligt granskat delmomenten baserat på studium av relevanta dokument samt intervjuer med kommunalråd, kommunchef, ekonomichef, IT-chef, barn- och utbildningschef, socialchef samt kontakter med datasamordnare dels för barnoch utbildningsförvaltningen dels socialförvaltningen. Vidare har kontroll och säkerhet särskilt granskats med inriktning mot generella kontroller i användningen av verksamhetskritisk IT-verksamhet. Denna del av projektet har genomförts med inriktning dels mot den centrala IT-enhetens verksamhet som är inriktad mot kommunens nätverk, systemdrift och användarsupport och dels mot ett urval av den decentraliserade systemförvaltningen. Granskningen har bedrivits under okt-nov 2009 och genomförts av Olof Eriksson och Jan-Inge Hedin, KPMG. Den senare med ansvar för den större del av granskningen som avser kontroll och säkerhet. Rapporten har saklighetsgranskats av kommunchef, ekonomichef och IT-chef. 1

4 2. Struktur och IT-organisation 2.1 Framväxt En mycket stor del av verksamheten i kommunen bedrivs och kopplas till någon form av datoriserat stöd som med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamheten på ett effektivt och ändamålsenligt sätt. Antalet datorer, tillhörande utrustning och utbyggnad av nät för kommunikation har ökat i snabb takt. De senaste fem åren har det varit särskilt markant i menar flera intervjuade. har enligt IT-enheten för närvarande cirka 1150 nätverksanvändare. Det finns upp emot 40 adresser i nätverket fördelat på geografiska lokationer. Verksamhetssystemen är cirka 45 stycken med många applikationer. Det finns enligt uppgift idag 559 datorer som IT-enheten ska hantera. Därutöver finns ett antal datorer vid vissa skolor som köpts utanför IT-enheten. 2.2 Ansvarsområden För att hantera alla system och samordna dem på olika sätt är det viktigt att klara ut vem som ansvarar för vad i sammanhanget. Några nyckelbegrepp som beskriver ansvarsfördelningen kan beskrivas som följer. Systemägare är den myndighet (t ex nämnd) i kommunen vars verksamhetsområde är användare av ett system t ex ett verksamhetssystem. I det fall ett system används av flera nämnder kan en nämnd, t ex kommunstyrelsen vara systemägare. Systemägaransvaret kan delegeras till exempelvis förvaltningschefen. Nämnden är registeransvarig enligt datalagen även om nämnden inte är systemägare. Systemförvaltning är det planeringsarbete som systemägaren själv eller genom delegation till annan skall ansvara för, till exempel att följa verksamhetens behov av nya och förändrade arbetssätt samt tillse att användare får det utbildning och information som behövs. Systemförvaltaren eller systemansvarig är den som genom delegation från systemägaren fått i uppdrag att bereda systemärenden för förvaltningsledningen samt att svara för administration, förvaltning och användning. Systemförvaltaren fastställer krav på behörighet och kompetens för systemets användare, initierar utbildning av systemets användare, bevakar och bereder frågor kring systemsäkerhet, ansvarar för information till användarna om förändringar och nyheter i systemet och IT-stödet. IT-enheten har det tekniska kunnandet och finns som stöd till de ansvariga och verksamheterna som använder IT-systemen. IT-enhetens huvuduppgift kan sägas vara drift av systemen men enheten har också en viktig roll när det gäller att bereda ärenden gällande IT-verksamheten samt när det gäller bevakning av att riktlinjer och regler följs till exempel i samband med upphandling av datorer och IT-system. I Höör är IT-chefen systemansvarig för kommunens tekniska grundstruktur för IT (nätverk, kommunikation m m). 2

5 2.3 IT-samverkan IT-verksamheten inom kommunen har växt fram både i samverkan med andra intressenter och i kommunen separat. Ett samarbete för gemensam IT-infrastruktur har etablerats genom bildandet av en gemensam nämnd tillsammans med kommunerna inom Skåne Nordost (Bromölla, Hörby, Hässleholm, Kristianstad, Osby och Östra Göinge. Perstorp är inte med i detta samarbete). Nämnden startade 2006 med Hässleholm som värdkommun. Man har hittills i huvudsak sysslat med uppbyggnad och drift av en gemensam IT-infrastruktur när det gäller kommunikationsförbindelser. Internetförbindelsen är gemensam för kommunerna. Det finns en avsiktsförklaring upprättad i år mellan kommunerna om att fördjupa IT-samarbetet för att skapa synergieffekter. Det finns också ett närmare samarbete med grannkommunen Hörby. Detta är relativt nytt och bygger på en avsiktsförklaring ( ) mellan de två kommunerna. Denna har utmynnat i att snabbt studera ett konkret samarbete inom två områden. De två områden som valts ut inledningsvis är dels IT-området (service, teknik, telefoni m m) samt löneadministration. Därutöver föreligger en allmän avsiktsförklaring till respektive förvaltningsorganisation att aktivt undersöka andra samarbetsmöjligheter. 2.4 IT-enheten Organisation IT-enheten i Höör ligger under kommunstyrelsen och ekonomichefen är övergripande chef för enheten som operativt leds av IT-chefen. Kommunchefen har också en roll i organisationen eftersom denne får utredningsuppdrag från kommunstyrelsen när det gäller samverkan med andra intressenter/kommuner inom IT-området. Personal IT-enheten i Höör består av sex medarbetare där tjänsterna är enligt följande: 1 IT-chef med det övergripande ansvaret 1 Supporttekniker som har hand om HelpDesk-funktion och utbildning 2 IT-tekniker som sköter merparten av den löpande supporten 1 IT-specialist som tar hand om nätverk och servrar 1 Systemtekniker som sköter databaser, GIS-system och terminalsystem I rollen som säkerhetssamordnare har räddningschefen ett ansvar för IT-säkerheten. Finansiering IT-enhetens verksamhet är helt finansierad genom avgifter som dels består av en PC-hyra som tas ut per PC, dels en så kallad IT-kostnad som fördelas på antalet IT-användare inom varje sektor. PC-hyran inkluderar kostnader för PC:n såsom kapitalkostnad för hårdvara, licenser för Office, virusskydd, operativsystem och kostnader för support. IT-kostnad omfattar kostnader för nätverk, kommunikation, servers, mailssystem, övriga licenser för nätverksanvändning och personalkostnader. Kostnaderna för 2009 redovisas nedan. IT-kostnad: PC-hyror: 3

6 Stationär inom administrationen: 4319:-/år Bärbar inom administrationen: 8116:-/år Stationär inom skolan: 4028:-/år Tunn klient inom skolan: 2450:-/år Bärbar inom skolan: 6054:-/år Drift IT-enheten sköter all drift själva utom backup-hantering som sker i samverkan med Hörby kommun. Man planerar också för en gemensam serveranläggning med Hörby kommun. Den IT-samverkan som Höör ingår i och vidareutvecklar är värdefull och som vi bedömer ett viktigt steg för att möta kostnader, krav på kompetens och kvalitet i stödet till verksamheten. 3. Mål och strategier 3.1 Styrdokument Det finns två övergripande styrdokument. E-post & internetpolicy, fastställd av kommunstyrelsen samt IT-säkerhetspolicy fastställd av kommunfullmäktige IT-säkerhetspolicyn och styrningen kommenteras vidare i avsnitt 9. Det finns utöver dessa dokument inte någon beslutad övergripande strategi för den nuvarande och framtida IT-utvecklingen. Däremot finns, som redan nämnts, flera beslut om samverkan på ITområdet. Av våra intervjuer framgår att man från politisk nivå inte vill styra allt för hårt när det gäller utvecklingen av samverkan utan det måste, som vi tolkar det, få komma fram mer underifrån för att kunna ligga i fas tidsmässigt och med acceptans från verksamheten. Man måste få en vinn-vinn-situation. Däremot finns det inte något mål i sig att slå ihop verksamheterna enligt en kommentar. 3.2 IT-råd Det finns ett nyligen inrättat IT-råd som består av IT-chefen och kommunens ledningsgrupp. ITchefen sitter inte med i den ordinarie ledningsgruppen. Tidigare fanns en IT-grupp som bestod av systemförvaltare och IT-chef men den gruppen slog inte så väl ut. Enligt våra intervjuer var den för spridd när det gäller inriktning på verksamhet och ambitioner för IT-stödet. Det finns, menar flera, goda förutsättningar för att driva IT-utvecklingen inom ramen för IT-rådet. 4

7 3.3 Nämndernas mål Som bland annat framgår Av IT-säkerhetspolicyn framgår bland annat att det är nämnderna som är systemägare och som fattar de avgörande besluten om den egna verksamhetens datasystems införande eller avveckling etc. Det kräver på nämndnivå strategiska beslut som måste gå hand i hand med de övergripande styrdokumenten. På nämndnivå ska enligt kommunens IT-säkerhetspolicy en Systemsäkerhetsplan fastställas individuellt för samtliga förvaltningsspecifika system utifrån systemets betydelse för verksamheten (en sådan plan innehåller bland annat systemspecifika krav på drift, behörighetsrutiner, avbrottsplan mm). Vi har inte särskilt kartlagt nämndnivåns styrning inom området, men vi har tagit del av barn- och utbildningsnämndens Förnyelse- och utvecklingsprocess som innehåller en del som gäller framtagandet av en IT-strategi för barn- och utbildningssektorn. Barn- och utbildningsnämnden har antagit strategin gällande för perioden och i processen har IT-chefen och datasamordnare för BUN varit processledare. 4. Uppföljning och rapportering Intern kontroll En definition av den interna kontrollen kan uttryckas som att aktivt leda en verksamhet på ett riskmedvetet sätt. Till stora delar kan det appliceras på IT-verksamheten i kommunen. På olika nivåer är det väsentligt att det finns en god intern kontroll och att den följs upp på systematiskt. Enligt reglementet för intern kontroll ska varje nämnd varje år anta en särskild plan för uppföljning av den interna kontrollen. Enligt våra intervjuer har inte någon nämnd under senare tid följt upp sina IT-system inom ramen för det interna kontrollarbetet. Den interna kontrollen är emellertid under revidering enligt kommunstyrelsens svar på revisionens tidigare påpekanden runt dessa rutiner. Personuppgiftslagen Av nämndernas reglementen framgår att nämnderna är registeransvariga enligt personuppgiftslagen (PUL) för de personregister som nämnden för och förfogar över i sin verksamhet. Av kommunkansliets uppgift framgår att kommunen inte har utsett något centralt PUL-ombud. Ett sådant ombud kan utses inom kommunen för att självständigt kontrollera att personuppgifter hanteras korrekt inom kommunens styrelse och nämnder. Enligt kanslichefen har diskuterats olika lösningar genom åren, men något beslut har inte fattats. Kommmunkansliet har dock tagit ett visst ansvar för frågan. Varje sektor har utsett en kontaktperson som ska ha koll på de register man för inom sektorn och rapporterar dessa till kansliet. En utbildning för kontaktpersonerna har genomförts. En sammanställning över de register kommunen för, finns på intranätet tillsammans med en blankett som ska användas för att anmäla register. 5

8 5. Service och rollfördelning IT-enheten levererar tjänster till nämnderna och är det sammanlänkande stödet för verksamheterna. Man har ingen egen budget utan är avgiftsfinansierad enligt vad som ovan redovisats. Man fungerar därmed som en beställarorganisation. Det finns inte någon uppdragsbeskrivning från kommunledningen för IT-enheten. Detta hade kunnat tydliggöra uppdraget bättre är en intervjusynpunkt. Enligt våra intervjuer har det funnits olika åsikter och förväntningar mellan IT-enheten och barn- och utbildningsförvaltningen om vad IT-stödet innebär och vilka mandat som gäller i organisationen. För att klargöra tjänster och ansvar och för att minska eventuella förväntningsgap har IT-enheten arbetat fram dels en Beskrivning av IT-tjänster, dels ett utkast till Servicenivåkontrakt för ITtjänster till barn- och utbildningsnämnden. IT-tjänster som tillhandahålls enligt beskrivningen är Datorarbetsplats Applikationshantering Nätverk NätverksID Skrivare/kopiator Utbildning E-post Drift av Eleva (system för IUP) I beskrivningen lämnas en redogörelse för varje del och vilken verksamhetsnytta varje del innebär. Servicenivåkontraktet reglerar den service IT-enheten ger på de tjänster som IT-enheten tillhandahåller den pedagogiska verksamheten inom barn- och utbildningsnämnden. Beskrivning av IT-tjänster och Servicenivåkontrakt är mycket bra verktyg för att tydliggöra åtagande och förväntad service. Vi anser att det bör tas fram för alla verksamheter. 6. IT-säkerhet och generella kontroller 6.1 Utgångspunkter Ett verksamhetskritiskt IT-system kännetecknas av att det dels stödjer väsentliga processer i kärnverksamheten och dessutom att dess funktionalitet är svår att ersätta utan kvalitetsrisker. 6

9 Väsentliga delar av verksamheten är således beroende av att dessa system har hög tillgänglighet och att de är tillförlitliga. Behovet av kompletterande kontroller ökar då IT generella kontroller i verksamhetskritiska system visar brister i något avseende. 6.2 Genomförande Granskningen har inriktats dels mot den centrala IT-enhetens verksamhet som omfattar kommunens nätverk, systemdrift och användarsupport (IT-infrastruktur) och dels mot ett urval av den decentraliserade systemförvaltningen. För att bland annat verifiera hanteringen av användarkonton i operativsystemet (Windows AD) för nätverket, har vi använt ett verktyg (Sekchek), för att läsa av vissa inställningar och aktiviteter. Ett detaljerat resultat av denna analys avrapporteras till IT-enheten separat. Vissa noteringar från analysen beskrivs under respektive avsnitt i denna rapport. Ansvaret för den operativa förvaltningen av de olika verksamhetssystemen är decentraliserat till ledningen för respektive verksamhet som utnyttjar det aktuella systemstödet. Vi har valt att granska rutiner vid förvaltningarna av två system, dels Inköp och Faktura (Aditro) och dels verksamheten IFO, Individ och Familjeomsorg (Procapita). Intervjuer för denna del har skett med systemtekniker Claes Håkansson, ansvarig Helpdesk Support (Nilex) Gunilla Skog Nilsson, systemförvaltare Inköp och Faktura (Aditro) Amra Saranovic och systemförvaltare (Procapita) Angélique Nicander. 7. IT-stödet 7.1 Väsentliga stödsystem Klassificering av system Ledningsgruppen inom Höörs Kommun har (2004) genomfört en väsentlighetsklassning av de system som används av kommunens olika verksamheter. Syftet med bedömningen var att identifiera de eventuella system som är kritiska för verksamheten. Sammanlagt 36 olika system ingick i bedömningen varav 12 bedömdes vara kritiska. Dessa system framgår av tabellen nedan 7

10 System Systemägare (sektor) Användnings- Område Systemdrift i utrymme Extens BUN Elevhantering Serverrum 1 Eleva BUN Omdömesdatabas elever Serverrum 1 ProfDoc Journal 111 BUN Journalsystem skolsköterskor Serverrum 1 Daedalos RTJ Insatsrapportering Framgår ej av förteckning RIB RTJ (Vet ej) Framgår ej av förteckning VA-banken Tekniska VA-ledningar Framgår ej av förteckning Aditro Personal Lönesystem Serverrum 1 ProCapita SOC IFO samt vård och omsorg Datahallen Nyckelgömman SOC Hantering nyckelskåp Framgår ej av förteckning GIS Flera Alla GIS-program Framgår ej av förteckning Aditro Flera Ekonomisystem Serverrum 1 IT-plattform Flera Nätverk och standard-pc Datahallen Fördelen med att klassificera system är att det ger möjlighet att anpassa väsentliga processer/kontroller (exempelvis avseende drift, support, logisk och fysisk säkerhet) i förhållande till de olika systemens betydelse för den verksamhet de stödjer. Säkerhetsarbetet kan då anpassas på ett ändamålsenligt och kostnadseffektivt sätt. Initiativet att klassificera verksamheternas olika system är bra och en viktig utgångspunkt för att ge möjlighet att anpassa utformningen av de olika rutinerna inom kommunens IT-verksamhet. Det är dock viktigt att klassificeringsarbetet utgår från kärnverksamheterna och en analys av de konsekvenser som bedöms uppstå i dessa verksamheter, om det exempelvis blir avbrott i systemstödet. Därför bör ansvaret för att klassificeringsarbetet genomförs, ligga på ledningen för respektive verksamhet. Klassificeringen visar att flera av kommunens verksamheter har ett stort beroende av system- 8

11 stödet. Detta ställer höga krav på ett antal av de rutiner/processer/kontroller som tillämpas inom IT-verksamheten (systemförvaltningen och verksamheten inom den centrala IT-enheten). 8. Systemförvaltningen 8.1 Inledning Som nämnts ovan har vi valt att granska rutiner vid två av systemförvaltningarna inom Höörs Kommun, nämligen dels Inköp och Faktura (Aditro) och dels verksamheten för Individ och Familjeomsorg (IFO), (Procapita). Resultatet av dessa systemförvaltningar har vi valt att avrapportera separat under detta avsnitt, huvudsakligen för att tydligt markera att de rutiner systemförvaltningarna tillämpar är handläggningsmässigt åtskilda från IT-enhetens verksamhet. 8.2 Systemförvaltningen vid Inköp och Faktura (Aditro) Systemsäkerhetsplan, i enlighet med IT-säkerhetspolicyn saknas, men arbete med att utveckla en sådan plan pågår. Som underlag för säkerhetsplanen genomförs en risk/konsekvensanalys där utfallet genererar krav anpassade utifrån systemets betydelse för kärnverksamheten (exempelvis avseende drift och support). Det är således osäkert om rutinerna anpassats på ett riktigt sätt innan detta klassificeringsarbete genomförts. Man tillämpar en rutin för digital attest av fakturor vilket innebär att gällande attesträttigheter registreras i systemet. Dessutom registreras konton, verksamheter och belopp (gäller endast beslutsattest ) som begränsning för en beslutsattest. Man skiljer på mottagningsattest och beslutsattest, men reglerna är att båda måste finnas (får ej vara samma tjänsteman) för varje faktura. Beslutsattest tilldelas endast verksamhetschefer och deras ställföreträdare. För beslutsattest gäller enligt nuvarande rutin 1 mkr som maxgräns på samtliga beslutsattestanter. Vi har inte följt upp om detta belopp överstämmer med gällande attestinstruktionen. Systemförvaltarna, som administrerar attestregistret, har också attesträtt (mottagningsattest) i systemet och arbetar med att exempelvis kontera fakturor på egna beställda tjänster. Man tillämpar en rutin där samtliga ändringar i attestträdet sker utifrån skriftligt uppdrag från verksamhetscheferna. Ändringar i attestregistret loggas inte. Däremot framgår för varje faktura vem som attesterat. Behörigheter för åtkomst i Aditro (Inköp och Faktura) registreras av systemförvaltarna enbart utifrån skriftliga uppdrag från verksamhetscheferna. Eftersom systemet endast har använts under ca ett års tid har man listat samtliga behörigheter vid ett par tillfällen som tillställts verksamhetscheferna för kontroll. Denna rutin är dock inte fastställd. Ändringar i behörighetsregistret loggas inte. 9

12 Det behövs ett separat lösenord för åtkomst till Aditro Inköp och Faktura. Reglerna för detta är minst 3 tecken, inga krav på komplexitet (komplexitet innebär krav på såväl bokstäver, siffror som specialtecken), bytesfrekvens 90 dagar (byte minst var tredje månad) och historiska lösenord sparas inte (användaren kan återanvända samma lösenord varje gång). Inaktivitet under tre månader medför automatisk utspärrning. Vi rekommenderar att verksamheten utvecklar och fastställer en systemsäkerhetsplan i enlighet med IT-säkerhetspolicyn. Det är bra att systemförvaltningen tillämpar rutiner där behörigheter och attester enbart utförs utifrån skriftliga uppdrag från chefer/ledningar i de olika verksamheterna. Gemensamma rutinbeskrivningar (för samtliga systemförvaltningar) där detta fastställts, saknas dock i kommunen. Vår rekommendation är att gemensamma rutinbeskrivningar för vissa allmänna områden utvecklas och fastställs av kommunledningen. Här bör vissa minimikrav inom de olika områdena (åtkomst, lösenord, administrativa rättigheter mm) också fastställas. Dessa regler och krav kan också variera beroende på de olika systemens betydelse (klassificeringsnivå) för respektive verksamhet. Sådana gemensamma bestämmelser bör exempelvis inkludera rutinbeskrivningar för åtkomst inklusive lösenord och att behörighets- och systemadministrationen alltid åtskiljs från arbetsuppgifter i den aktuella verksamheten (verksamhetsstyrda arbetsuppgifter i samma system). Även regler kring ändringshantering och loggning bör regleras och fastställas genom sådana gemensamma riktlinjer. 8.3 Systemförvaltningen vid Individ och Familjeomsorg (Procapita) Systemsäkerhetsplan, i enlighet med IT-säkerhetspolicyn (se avsnitt Övergripande riktlinjer) saknas, men arbete med att utveckla en sådan plan pågår. Som underlag för säkerhetsplanen genomförs en risk/konsekvensanalys där utfallet genererar krav anpassade utifrån systemets betydelse för kärnverksamheten (exempelvis avseende drift och support). Det är således osäkert om rutinerna anpassats på ett riktigt sätt innan detta klassificeringsarbete genomförts. En del av systemanvändarna i Procapita är handläggare på Individ och Familjeomsorgen som dokumenterar i patientjournaler i systemet. Det förekommer att sådana journalnoteringar blir felaktiga och att systemförvaltaren då får uppdrag att radera informationen. Man vet inte om ändringen loggas, men det försvinner i systemet. Behörigheter för åtkomst i Procapita registreras av systemförvaltarna enbart utifrån skriftliga uppdrag från verksamhetscheferna eller motsvarande. Man tillämpar inte någon rutin för att regelbundet kontrollera (exempelvis lista till respektive verksamhetschef som godkänner/gör ändringar i listan) att samtliga behörigheter är korrekta. Man tror att loggning sker av samtliga behörighetsändringar, men dessa loggar används/kontrolleras inte. 10

13 Ändringar i behörighetsregistret loggas inte. Det behövs ett separat lösenord för åtkomst till Procapita Individ och Familjeomsorg. Reglerna för detta är minst 8 tecken (varav minst två siffror), bytesfrekvens 90 dagar. Historiska lösenord sparas man vet inte hur många generationer. Man vet inte om inaktivitet efter viss tid medför automatisk utspärrning. Vi rekommenderar att verksamheten utvecklar och fastställer en systemsäkerhetsplan i enlighet med IT-säkerhetspolicyn. Det är bra att systemförvaltningen tillämpar rutiner där behörigheter enbart utförs utifrån skriftliga uppdrag från chefer/ledningar i de olika verksamheterna. Gemensamma rutinbeskrivningar (för samtliga systemförvaltningar) där detta fastställts saknas dock i kommunen. Vår rekommendation är att gemensamma rutinbeskrivningar för vissa allmänna områden utvecklas och fastställs av kommunledningen. Detta omfattar även vissa minimikrav inom de olika områdena (åtkomst, lösenord, administrativa rättigheter mm). Dessa regler och krav kan också variera beroende på de olika systemens betydelse (klassificeringsnivå) för respektive verksamhet. Sådana gemensamma bestämmelser bör exempelvis inkludera rutinbeskrivningar för åtkomst inklusive lösenord och att behörighets- och systemadministrationen alltid åtskiljs från arbetsuppgifter i den aktuella verksamheten (verksamhetsstyrda arbetsuppgifter i samma system). Även regler kring ändringshantering och loggning bör regleras och fastställas genom sådana gemensamma riktlinjer. Med avseende på uppdrag att radera felaktig information i patientjournaler, bör man undersöka möjlighetan att aldrig tillåta att journaluppgifter som sparats efteråt kan raderas. Det är bättre att göra en tydlig notering (exempelvis streck över felaktig text) om informationens felaktighet och signatur som visar vem och när uppgift ändrats. En sådan rutin ger ett bättre skydd för tjänstemän med behörighet att radera information (dessutom kan oavsiktliga raderingar helt undvikas). 9. IT generella kontroller 9.1 Styrning av IS/IT-verksamheten Organisation Organisation och ansvarsfördelning av IT-säkerhetsarbetet framgår av IT-säkerhetspolicyn ( ) (se vidare pkt 3.1.2, nedan) i enlighet med följande IT-enheten ansvarar för kommunens IT-infrastruktur och att detta fungerar tillsammans med de olika verksamhetssystemen. IT-enheten samverkar med systemägare och verksamhetsansvariga med avseende på drift och resursfördelning för ett datasystem 11

14 Systemägare är nämnden. Sektor- eller verksamhetschef är ansvarig för att driva ITverksamheten inom respektive sektor. Dessa utser systemförvaltare IT- säkerhetsansvaret följer den normala linjeorganisationen ( Var och en som ansvarar för någon del av verksamheten ansvarar också för IT-säkerheten inom sitt område ) Den ansvarsmässiga fördelning av IT-verksamheten enligt IT-säkerhetspolicyn ger bra förutsättningar för att erhålla ett systemstöd som utgår från verksamhetens faktiska behov. Förutsättningen för att IT-enhetens verksamhet skall bidra till detta, är att kärnverksamhetens krav på IT-verksamheten framställs på ett tydligt sätt. Övergripande riktlinjer Genom IT-säkerhetspolicyn finns en bra utgångspunkt för utformningen av exempelvis riktlinjer, rutiner och ansvar kring IT-verksamheten. Förutom en tydlig ansvarsfördelning följer här ett utdrag av policyns föreskrifter IT-säkerheten skall följa BITS (Krisberedskapsmyndigheten 2002:3) rekommendationer för IT-verksamhet Systemsäkerhetsplan skall fastställas individuellt för samtliga förvaltningsspecifika system utifrån systemets betydelse för verksamheten (en sådan plan innehåller bland annat systemspecifika krav på drift, behörighetsrutiner, avbrottsplan mm) Löpande analys av hotbilden skall ske för varje enskilt system IT-säkerhetsarbetet skall löpande följas upp IT-säkerhetspolicyn är tydlig och konkret såväl med avseende på ansvarsfördelning som hur säkerhetsarbetet kring varje system skall genomföras. Kravet på en individuell systemsäkerhetsplan för varje system ger förutsättningar att anpassa säkerhetsarbetet individuellt utifrån systemens betydelse för verksamheten. Samtidigt skapar detta tydliga krav från verksamheten på IT-enheten och dess rutiner kring IT-säkerhetsarbetet. Trots IT-säkerhetspolicyns krav på utvecklingen av en systemsäkerhetsplan för varje verksamhetssystem, saknas en sådan för samtliga verksamheter med undantag för ett system (GIS). Anledningen till att IT-säkerhetspolicyn inte följts i detta avseende sedan 2005 är oklart. Vi konstaterar att detta uppenbarligen inte prioriterats. Vår rekommendation är att systemsäkerhetsplaner utvecklas för samtliga verksamhetssystem. Utan dessa säkerhetsplaner saknas också förutsättningar för att anpassa säkerhetsarbetet utifrån systemets betydelse för verksamheten. Detta avser såväl systemförvaltningen som IT-enhetens arbete (ex. nätverk, drift, logisk- och fysisk säkerhet). 12

15 Användarstyrning Vanligtvis utvecklar bolag idag särskilda användaranvisningar som klargör reglerna för användningen av bolagets IT-resurser (ex. hanteringen av lösenord, användningen av information, programanvändning, e-post, Internet, kopiering etc.). Anvisningarna bör dessutom informera om de konsekvenser som brott mot anvisningarna kan ge upphov till. Det är inte ovanligt att anvisningarna utformas som ett avtal mellan bolaget och dess användare och som varje användare undertecknar. Undertecknandet är en bekräftelse på att användaren accepterar reglerna och efterlevnaden. Syftet är att ytterligare förstärka användarnas medvetenhet och ambition att skydda bolagens information och system. har utvecklat användaranvisningar i form av E-post & internetpolicy, som informerar användarna om de regler som gäller vid användningen av kommunens IT-resurser. Policyn är inte utformad som ett avtal mellan användarna och kommunen. Dessutom framgår inte konsekvenserna av att inte följa regelverket. Det kan också vara bra att veta att man på Datainspektionens hemsida kan få tips om hur användaranvisningar kan utformas och vad svenska bolag brukar reglera. Eftersom användaranvisningarna har funktionen att informera/utbilda användarna om de risker som kan vara förknippade med felaktig användning av kommunens IT-resurser (ex. känslig information, internet, e-post), är det vår rekommendation att utforma anvisningarna som ett avtal mellan användarna och kommunen. Dessutom bör man överväga att komplettera anvisningarna med en beskrivning av de konsekvenser som kan blir aktuella vid brott mot reglerna. 9.2 Fysisk säkerhet Fysiskt skydd och skyddsmiljö skall i första hand skydda installationer och information mot obehörig fysisk access vilket kan leda till skada eller stöld. Kontroll av skyddsmiljön säkerställer att servrarna finns i en datoranpassad miljö och säkerställer fortsatt drift och minimerar effekterna av en katastrof, naturlig eller inte. Områden som berörs är framförallt IT-utrustning i datahallar. För serverrum rekommenderas larm för brand, temperatur och fukt. Om systemen är väldigt betydelsefulla för verksamheten och dess kontinuerliga servicenivå, kan det finnas anledning att komplettera serverrummen med automatisk släckningsutrustning. Som skydd mot strömavbrott används UPS med batteridrift för säker avstängning av serverdriften. Då känsligare system driftas i datahallen förekommer det att dieselaggregat kopplas direkt till den aktuella serverdriften, för att säkerställa en kontinuerlig verksamhet. har två datahallar i kommunhuset, dels ett huvudutrymme i källaren (datahallen) och dels ett (tidigare duschrum) utrymme (serverrum 1) några våningar upp i samma hus. Utrustningen för backup kopiering finns i särskilt utrymme i Räddningstjänstens lokaler i Höör. Vi har besökt samtliga utrymmen. 13

16 Datahallen är skyddad mot obehörig access genom tagg och kod. Det är inte fastställt vem i organisationen som har befogenhet att bestämma vem som skall ha åtkomst och som därmed skall utrustas med tagg och kod. Dessutom förvaras en (anonym) tagg i receptionen om någon konsult eller hantverkare behöver komma in i rummet. Motsvarande åtkomstskydd tillämpas även i de båda övriga utrymmena. Accesser loggas inte, vilket innebär att man inte vet av vem eller när det varit besök i något av utrymmena. Rökdetektor finns i samtliga tre utrymmen med brandlarm till brandkåren. Däremot finns inte släckningsutrustning bortsett från en kolsyresläckare av mindre modell i datahallen. Fuktlarm saknas i samtliga utrymmen. I datahallen finns ett vattenbaserat värmeelement. Dessutom har det läckt in vatten genom en vägg i rummet. Även i de båda andra utrymmena finns vattenledningar. De båda serverrummen i kommunhuset är utrustade med kylning och templarm. Utrymmet med utrustning för backup saknar kylning och anses inte heller behöva sådan utrustning. Kommunen saknar riktlinjer för krav på fysisk säkerhet och driftsmiljö i serverhallarna. Vår rekommendation är att fastställa sådana krav anpassade utifrån de system som driftas i respektive lokal. 9.3 Logiska accesskontroller Grunden för systemanvändningen bör utgå ifrån att varje användare aktivt beslutas få tillgång till den information eller funktion som behövs utifrån arbetsuppgifterna ( Vad man måste veta respektive Vad man måste göra ). Det är vidare lämpligt att tjänsteman som är behörighetsadministratör (möjlighet att ändra användarbehörigheter för användare i nätverk och/eller system) inte själv har arbetsuppgifter i den aktuella verksamheten. Samtliga uppdrag (ny användare eller ändring av befintlig användare) till behörighetsadministratör bör vara skriftlig och behörig. Genom att tilldela respektive användare individuella användarnamn och personliga lösenord skapas en bra grund för en säker och ändamålsenlig systemanvändning. Integritet, sekretess och kontinuitet i driften är några aspekter som gynnas genom att förhindra obehörig åtkomst till system och information. Logiskt åtkomstskydd innebär dessutom att samtliga användarkonton är personliga (med undantag för servicekonton) och att kontonas lösenord har krav på teckenlängd, bytesfrekvens, historik och komplexitet. För att undvika obehörig access är det vidare viktigt att tillämpa rutiner varigenom inaktiva konton kan identifieras och spärras. Användarkonton i nätverket Behörighetsadministrationen kring användarkonton i nätverket (nyuppsättning, ändring och borttag) sker utifrån uppdrag via e-post till IT-enhetens Helpdesk. Uppdragen från användarnas 14

17 chefer är därmed alltid skriftliga. Rutinen är inte beskriven verbalt men blanketter för beställning finns att hämta via intranätet. Genom att använda ärendehanteringssystemet Nilex för behörighetsadministrationen blir samtliga åtgärder väl dokumenterade. Tabellen nedan visar de aktuella inställningarna i Windows AD för användarkonton i nätverket Policy Policy Value Leading Practice Minimum Password Length 8 7 or greater Effective Minimum Password Length 8 7 or greater Maximum Password Age in Days to 60 Minimum Password Age in Days 1 0 Password History Size or greater Password Complexity Disabled Enabled Reversible Password Encryption Disabled Disabled Lockout Threshold 3 3 Lockout Duration Reset Lockout Counter in Minutes Force Logoff When Logon Time Expires Disabled Enabled Rename Administrator Account Not Defined New Name Rename Guest Account Not Defined New Name Allow Lockout of Local Administrator Account Disabled Enabled Prevent Transfer of Passwords in Clear Text Disabled Enabled Disable Password Changes for Machine Accounts Disabled Disabled Policy Value är den aktuella inställningen. Disabled betyder att funktionen/regeln inte effektuerats. Enabled betyder att funktionen/ regeln effektuerats. Som framgår är inställningarna i de flesta fall överensstämmande med Leading Practice eller starkare. Det som avviker genom svagare inställning är exempelvis Password Complexity, Rename Administrator Account och Rename Guest Account. Ytterligare information om de olika inställningarnas betydelse och de risker som de förknippas med, framgår av en separat rapport från analysen med hjälp av SekChek. Notering: Vi rekommenderar att man inom beslutar om kraven för lösenord till användarkonton i nätverket. Genom att exempelvis komplettera med krav på Password Complexity ökar skyddet mot obehörig åtkomst. 9.4 Kontinuitetsplanering Kontinuitetsplanering syftar till att göra det möjligt att fortsätta verksamheten även om olyckor, med förlust av IT-resurser som följd, inträffar. Mindre olyckor kan i annat fall också medföra onödiga kostnader och oacceptabla störningar på verksamheten. Planerna skall kontinuerligt uppdateras för att vara till största möjliga hjälp vid ett katastroftillfälle. Den vanligaste kontinuitetsåtgärden är backup kopiering av informationen i systemen. Backup bör alltid testas regelbundet genom återläsning för att säkerställa rutinen för backup (restore). 15

18 Backup kopiering (inkrementell) sker varje natt av samtliga förändringar i samtliga system utifrån en särskild plan. Backup band för månad och år lagras i separat miljö. Backup kopiorna testas inte utifrån en fastställd plan, vilket bör ske. För att säkerställa en kontinuerlig drift kan dessutom katastrofplaner (reservrutiner) utvecklas utifrån en bedömning av en lägsta servicenivå för de olika verksamheterna. BITS+ innehåller även krav på reservrutiner, vilket innebär att arbetet med att utveckla systemsäkerhetsplaner för de olika systemen inkluderar även reservrutiner. IT-verksamheterna saknar för närvarande kontinuitetsplaner men detta ingår som en del av arbetet med att utveckla systemsäkerhetsplaner utifrån IT-säkerhetspolicyn. Som tidigare noterats är det vår rekommendation att de olika verksamheterna utvecklar sådana planer. Genom en daglig inkrementell (dagens förändringar) backup kopiering försvinner också (avsiktligt eller oavsiktligt) raderad information vid den dagliga kopieringen. Eftersom man, förutom daglig backup-kopia, dessutom sparar backup-kopior för år och månad (separat lokal), riskerar man att maximalt förlora information som skapats och därefter tappas/raderas sedan senaste månadskopian. Vår rekommendation är att denna backup rutin bör bedömas och bestämmas systemindividuellt i samband med utvecklingen av systemsäkerhetsplanerna. Vår rekommendation är vidare att restore sker planmässigt för att säkerställa rutinens funktion vid en katastrofsituation. 9.5 End-User Computing End-User Computing syftar på användares egenutvecklade applikationer (exempelvis i Excel eller Access) och som har stor betydelse för verksamheten. Oftast är det komplexa kalkyler och sammanställningar som inte kan utföras med hjälp av det ordinarie systemstödet, och där flexibla hjälpmedel som Excel då kommer till användning. Det är då viktigt att inkludera dessa applikationer vid implementeringen av säkerhetslösningar som exempelvis backup och krav på åtkomstskyddande lösenord. Eftersom IT-enheten inte har kännedom i vilken utsträckning egenutvecklade applikationer förekommer är det vår rekommendation att utveckla en rutin där sådana applikationer identifieras för att man skall ha möjlighet att inkludera dem i säkerhetsarbetet. 10. Sammanfattande kommentar och rekommendationer IT-verksamheten i kommunen har enligt vår bedömning goda förutsättningar att utvecklas vidare. Det finns bra förutsättningar i det samarbete som skapats genom den gemensamma nämnden med 16

19 kommunerna i Skåne Nordost samt den samverkan som initierats med Hörby kommun. I den interna organisationen har ett IT-råd bildats vilket är en förutsättning för att få en gemensam grund att stå på i det fortsatta arbetet. I detta arbete är också viktigt att både IT-enheten och de olika verksamheterna strävar efter att ytterligare tydliggöra roller och uppgifter. Den beskrivning av IT-tjänster och servicenivå avtal som tagits fram för barn- och utbildningsverksamheten inom BUN är väsentlig och bör också tas fram för övriga verksamheter. IT-enheten fungerar enligt flera intervjuer mycket bra men det har också riktats kritik mot IT-enhetens förmåga att möta verksamhetens behov och IT-enheten har upplevt att verksamheterna vill skjuta över ansvar till enheten som rätteligen ligger på systemansvarig nämnd. Viktiga frågor att klarlägga är ansvarsfrågorna, servicenivåer och färdigställande av systemsäkerhetsplaner. Ansvaret för och utformningen av IT-verksamheten inom Höörs Kommun regleras genom fastställd IT-säkerhetspolicy. Genom sin utformning ger policyn bra förutsättningar för en verksamhetsstödjande och säker IT-verksamhet inom kommunen. Ansvarsfördelningen framgår bland annat genom det övergripande ansvaret för s datasystem ligger på kommunstyrelsen. Det operativa ansvaret för att varje datasystem uppfyller verksamhetens krav på säkerhet följer linjeorganisationen. Utformningen framgår bland annat genom Höörs Kommuns IT-säkerhet skall följa den basnivå som definieras av BITS (Basnivå för IT-säkerhet, Krisberedskapsmyndigheten). Handläggningen av de olika processerna/funktionerna inom IT-verksamheten har fördelats på dels IT-enheten, som ansvarar för kommunens IT-infrastruktur (nätverk, IT-plattform mm) och dels de olika verksamheterna, som ansvarar för att förvalta respektive system (finns ca 45 olika verksamhetssystem inom kommunens verksamheter). Utformningen av systemförvaltningen konkretiseras dessutom genom IT-säkerhetspolicyn, genom säkerhetsgranskning av samtliga förvaltningsspecifika system fastställs i en systemsäkerhetsplan. Till stöd för detta arbete har IT-enheten införskaffat applikationen BITS+, varigenom de olika verksamhetsledningarna får stöd i arbetet med att riskanalysera, klassificera och därmed erhålla en anpassad kravbild kring varje system vilket är positivt. Denna kravbild är därför systemindividuell utifrån de olika systemens betydelse för verksamheten. Vid vår granskning hade endast ett (1), av totalt ca 45 olika system, en systemsäkerhetsplan fastställd. Detta innebär att det för närvarande finns en stor osäkerhet om systemförvaltningen kring de olika verksamhetssystemen uppfyller de (genom IT-säkerhetspolicyn) fastställda säkerhetskraven. Förklaringen till att så få säkerhetsplaner utarbetats är osäker, men vår rekommendation är att kommunen genom uppföljning aktivt bidrar till att detta arbete prioriteras och dels att behovet av stöd till den decentraliserade systemförvaltningen utvärderas (utbildning, information, rutinbeskrivningar mm), för att säkerställa att det inte saknas förutsättningar för att fullfölja detta arbete. Vår rekommendation är dessutom att övergripande gemensamma rutinbeskrivningar för väsentliga gemensamma processer/regler inom IT-verksamheten utvecklas och fastställs av kommunledningen. Här bör vissa minimikrav inom de olika processerna/områdena (ändringshantering, åtkomst, lösenord, administrativa rättigheter mm mm) också fastställas. Dessa regler och krav kan också variera beroende på de olika systemens betydelse (klassificeringsnivå) för respektive verksamhet. Vår rekommendation är att ett sådant gemensamt regelverk även omfattar regler kring att behörighets- och systemadministration alltid ska åtskiljas från 17

20 arbetsuppgifter i den aktuella verksamheten (verksamhetsstyrda arbetsuppgifter i samma system), regler kring ändringshantering och dessutom loggning av väsentlig information/händelser. Sammanfattningsvis rekommenderar vi kommunen att Ta fram beskrivning av IT-tjänster och servicenivåavtal för alla nämnder Snabba upp och stötta nämnderna i arbetet med att ta fram systemsäkerhetsplaner Undersöka möjligheten att aldrig tillåta att raderad information i journaluppgifter för brukare försvinner. En bättre rutin är att göra en tydlig notering om informationens felaktighet och signatur som visar av vem och när uppgift ändrats Komplettera loggningsrutinerna med ändringar i behörighets- och attestregistret för Aditro (Ekonomi Inköp och faktura). Det är viktigt att samtliga ändringar i dessa register loggas Utforma användaranvisningarna som ett avtal mellan användarna och kommunen. Samtidigt bör man överväga att komplettera anvisningarna med en beskrivning av risker och konsekvenser vid brott mot reglerna Fastställa krav på fysisk säkerhet och driftsmiljö (åtkomstloggning, brand, temperatur, fukt mm) i serverhallarna anpassade till de krav som uppkommer genom de individuella systemsäkerhetsplanerna Besluta om kraven för lösenord till användarkonton i nätverket. Genom att exempelvis komplettera med krav på Password Complexity ökar skyddet mot obehörig åtkomst De olika verksamheterna utvecklar kontinuitetsplaner för de olika verksamheterna (som en del av systemsäkerhetsplanerna) Rutinerna för backup ska bestämmas systemindividuellt i samband med utvecklingen av systemsäkerhetsplanerna. Restore ska ske planmässigt för att säkerställa att rutinerna kring backup skall fungera vid en katastrofsituation Utveckla och tillämpa rutiner för att identifiera egenutvecklade applikationer (exempelvis i Excel och access) som är väsentliga för verksamheten för att ha möjlighet att inkludera dem i säkerhetsarbete som exempelvis åtkomst och backup KPMG AB Olof Eriksson Certifierad kommunal revisor Jan-Inge Hedin IT Advisory 18