Kommunrevisionen KS 2016/00531

Transkript

1 V W Halmstad Kommunrevisionen Datum kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång i Halmstads kommun På uppdrag av de förtroendevalda revisorerna i Halmstads kommun och lekmannarevisorerna i Halmstads Energi och Miljö AB, Hallands hamnar AB, Halmstads Fastighets AB, Halmstads Flygplats AB och Halmstads Stadsnät AB har PWC granskat säkerheten angående externt och internt dataintrång, främst i form av interna riktlinjer och styrdokument. Detta svar är ett koncerngemensamt svar. Revisionsfrågan för granskningen är: Ar kommunstyrelsen/bolagsstyrelsernas styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ändamålsenlig i förhållande till de prioriterande hoten? Stadskontoret är ansvarigt tor samordning av samtliga åtgärder samt verkställandet av samtliga åtgärder som ligger inom kommunstyrelsens förvaltning. Respektive bolag ansvarar för att verkställa sina åtgärder. PWC:s bedömning är att det finns utrymme för förbättring inom samtliga granskade verksamheter. Bedömningen grundar sig i de brister PWC noterat i kontrollmiljön utifrån definierade kontrollmål samt de bedömningar och rekommendationer PWC lämnat. PWC:s svar på revisionsfrågan är att kommunstyrelsen, Hallands Hamnar AB och Halmstads Flygplats ABs styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot inte är ändamålsenlig i förhållande till de prioriterade hoten.

2 PWC:s svar på revisionsfrågan är att Halmstads Energi och Miljö ABs, Halmstad Fastighets ABs och Halmstads Stadsnäts ABs styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot delvis är ändamålsenlig i förhållande till de prioriterade hoten. PWC har dock noterat att det, i samtliga verksamheter, finns informella processer för att löpande identifiera och hantera hot kopplade till IT och informationssäkerhet och att det bedrivs ett aktivt förbättringsarbete inom området vilket PWC ser som positivt. PWC har även granskad den fysiska säkerheten i Halmstads kommuns serverhall, utan väsentliga iakttagelser. En analys av tekniskt skydd i kommunens nätverk har iakttagits, även det utan väsentliga iakttagelser. PWC anser att det, trots påpekade förbättringsmöjligheter, finns en god förståelse för IT- och informationssäkerhet i kommunen. Hanteringen av risker inom området för IT- och informationssäkerhet får allt större betydelse då verksamheter blir allt mer beroende av stöd från IT-system. En effektiv och framgångsrik riskhantering bygger på ett helhetstänk. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t ex obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. På uppdrag av de förtroendevalda revisorerna i Halmstads kommun och lekmannarevisorerna i Halmstads Energi och Miljö AB, Hallands hamnar AB, Halmstads Fastighets AB, Halmstads Flygplats AB och Halmstads Stadsnät AB har PWC granskat säkerheten angående externt och internt dataintrång, främst i form av interna riktlinjer och styrdokument. Detta svar är ett koncerngemensamt svar. Revisionsfrågan för granskningen är: Är kommunstyrelsen/bolagsstyrelsernas styrningsmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot ändamålsenlig i förhållande till de prioriterande hoten? PWC:s analys, kontrollmål, bedömningar och rekommendationer Efter genomförd granskning är PWC:s bedömning att det finns utrymme för förbättring inom samtliga granskade verksamheter. Bedömningen grundar sig i de brister PWC noterat i kontroll miljön utifrån definierade kontroll mål samt de bedömningar och rekommendationer PWC lämnat. PWC:s svar på revisionsfrågan är att kommunstyrelsen, Hallands Hamnar AB:s och Halmstads Flygplats AB:s styrmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot inte är ändamålsenlig i förhållande till de prioriterade hoten. PWC:s svar på revisionsfrågan är att Halmstads Energi och Miljö AB:s, Halmstad Fastighets AB:s och Halmstads Stadsnäts AB:s styrnmodell för IT- och informationssäkerhet för att löpande identifiera prioriterade hot delvis är ändamålsenlig i förhållande till de prioriterade hoten. 2

3 PWC:s bedömningar grundar sig framförallt på att: Halmstads kommuns nuvarande organisation i form av roller, ansvarsområden, rapporteringsvägar samt nyckeltal för styrning av IT- och informationssäkerhet, inte är tydligt definierad. Iakttagelsen medför en risk att hot och risker inom IT- och informationssäkerhet inte blir hanterad på ett effektivt sätt. Halmstads kommun, Hallands hamnar, Halmstads Flygplats och Halmstads stadsnät saknar en formell process för att löpande analysera risker och hot mot verksamheten. Iakttagelsen medför att kontroller och arbetsinsatser inom området för IT- och informationssäkerhet inte nödvändigtvis har utgångspunkt i faktiska hot. Halmstads kommun, Flalmstads Energi och Miljö, Hallands Hamnar, Halmstads Flygplats och Halmstads Stadsnät saknar en formell och dokumenterad avbrottsplan som beskriver tillvägagångssättet för att återställa IT-miljön efter en allvarlig säkerhetsincident eller avbrott. Iakttagelsen medför att en incident kan få större konsekvenser för verksamheten än nödvändigt. HEM:s, HFAB:s och Flalmstads Stadsnäts AB:s nuvarande processer för rapportering och uppföljning av IT- och informationssäkerhet med avsikt att styra arbetsinsatser och kontroller, inte är tydligt definierade. Iakttagelsen medför en risk att hot och risker inom IT- och informationssäkerhet inte blir hanterade på ett effektivt sätt. PWC har dock noterat att det i samtliga verksamheter finns informella processer för att löpande identifiera och hantera hot kopplade till IT och informationssäkerhet och att det bedrivs ett aktivt förbättringsarbete inom området vilket PWC ser som positivt. PWC har även granskat den fysiska säkerheten i Halmstads kommuns serverhall, utan väsentliga iakttagelser. En analys av tekniskt skydd i kommunens nätverk har iakttagits, även det utan väsentliga iakttagelser. PWC anser att det, trots påpekade förbättringsmöjligheter, finns en god förståelse för IT- och informationssäkerhet i kommunen. Verksamheternas förslag till åtgärder Det finns sedan några år tillbaka ett pågående arbete för att förbättra kommunens IToch informationssäkerhetsarbete. Det kan konstateras att PWC:s granskningsrapport ligger helt i linje med det pågående interna utvecklingsarbetet och på ett påtagligt sätt synliggör behovet av ytterligare förbättringsarbete. De åtgärder som verksamheten föreslås vidta, presenteras på övergripande nivå (se nedan). En mer detaljerad åtgärdsplan finns hos respektive verksamhet. Följande förvaltningar och bolag har varit föremål för granskningen och därmed involverats i granskningsprocessen: kommunstyrelsen, serviceförvaltningen och Hallands Hamnar AB, Halmstads Flygplats AB, Halmstads Energi och Miljö AB, Halmstads Fastighets AB samt Halmstads Stadsnät AB. Kommunens digitaliseringschef/cio har ansvarat för en koncerngemensam process, där samtliga berörda aktörer har analyserat PWC:s granskningsresultat och sedan lämnat in åtgärder.

4 Åtgärder Förbättra arbetet med det koncerngemensamma styrnings-, lednings- och samordningsprocessen inom IT- och informationssäkerhetsarbetet. Fortsatt översyns- och revideringsarbete med styrande principer och styrdokument varav några kan bli föremål för politiska beslut. Framtagande av kontinuerlig revideringsplan för styrdokumenten. Fortsatt arbete med risk- och sårbarhetsanalyser med särskilt fokus på IT- och informationssäkerhetsarbetet. Framtagande av kommunikationsplan med syfte att säkra kompetensen inom IT- och informationssäkerhetsområdet. Tydliggörande av organisation, roller, ansvarsfördelning och rapporteringsvägar för styrning av IT- och informationssäkerhet. Införande av ett kvalitativt/kvantitativt uppföljningssystem för IT- och informationssäkerheten för att optimal styrning. Uppgraderad avbrottsplan för verksamhetskritisk IT-miljö. Klassificera system så att information bedöms och hanteras utifrån de konsekvenser som uppstår. Formålisera processen kring behörighetsadministration. Åtgärda brister gällande fysisk säkerhet. Åtgärderna är väsentliga komponenter till att säkerställa att hela styrkedjan är kvalitetssäkrad inom IT- och informationssäkerhetsarbetet. Arbetet avser framtagande och efterlevnad av vision, mål, uppdrag, styrdokument, uppgifter och aktiviteter för IToch informationssäkerhetsarbetet. Kommunstyrelsen har antagit en handlingsplan för genomförande av IT-riktlinjerna För att förverkliga de principer och initiativ som återfinns i handlingsplanen, krävs ett säkerställt IT- och informationssäkerhetsarbete som bör ha till målsättning att all information i Flalmstads kommun ska vara konfidentiell, tillgänglig, riktig och spårbar. Det avser alla processer oavsett i vilken form eller miljö informationen återfinns i. IT- och informationssäkerhetsarbetet ska också säkerställa att alla medarbetare har kunskap om och efterlever Flalmstads kommun informationssäkerhetsregler. Medarbetare och invånare ska känna trygghet i hur kommunens information hantera och förvaras. Arbetet med kommunens IT- och informationssäkerhet finns reglerat i kommunens riktlinjer för IT samt riktlinjer för IT-säkerhet. 4

5 Konsekvenserna av att de föreslagna åtgärderna genomförs resulterar i tydlig förbättring och förstärkning av de granskade verksamheternas IT- och informationssäkerhetsarbete. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t ex obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Verkställighet av åtgärderna bedöms i nuläget i huvudsak kunna hanteras inom beslutad budgetram. Det pågår dock ett nationellt arbete med att implementera NIS-direktiv (säkerställande av hög och säker nivå gällande nät och informationssäkerhet i hela EU), den nya dataskyddsförordningen som ställer högre krav på hantering av personuppgifter, höjd beredskap och ny säkerhetsskyddslag. Detta sammantaget ställer högre krav på kommunens IT- och informationssäkerhetsarbete, vilket troligtvis kräver mer resurser eftersom prioriteringar inom fastställd budget redan är ansträngd. Åtgärderna resulterar även i bättre efterlevnad av nuvarande och ny lagstiftning. För Halmstads kommun Ordförande Catharina Rydberg Lilja T f kommunchef 5