GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet Malmö stad Revisionskontoret

Transkript

1 GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet RAPP Uppföljning IT-granskningar Postadress: Stadshuset, Malmö Besöksadress: August Palms plats 1 Telefon (exp): Hemsida: malmostadsrevision@malmo.se

2 1 SAMMANFATTNING INLEDNING/BAKGRUND SYFTE, REVISIONSFRÅGA OCH AVGRÄNSNING Syfte Revisionsfrågor Avgränsning REVISIONSKRITERIER GRANSKNINGSANSVARIGA METOD RESULTAT AV GRANSKNINGEN Styrdokument under behandling Behörighetsadministration Lösenordshantering Kontinuitetsplanering ifacts Inventering och klassificering Kravhantering Uppföljning SLUTSATS KÄLLOR RAPP Uppföljning IT-granskningar 2 (10)

3 1 Sammanfattning Under de senaste åren har revisionskontoret genomfört granskningar av Malmö stads IT-verksamhet. Granskningarna har visat på brister avseende behörighetsadministration, efterlevnad av lösenordshantering och kontinuitetsplanering. För att följa upp vilka brister som kvarstår och planerade åtgärder för att komma tillrätta med dessa har Malmö stads revisorer initierat denna uppföljning. Stadens informationssäkerhetssamordnare och systemförvaltarna för de fem system som berördes av den senaste granskningen har fått besvara frågor om vad som åtgärdats och vad som återstår av de synpunkter och rekommendationer som tidigare lämnats. Stora brister i behörighetsadministrationen kvarstår huvudsakligen i ett IT-system. Avseende lösenordshantering är rekommendationen från tidigare granskning om krav på större komplexitet på lösenord inte införd i centralt knutna system. Två granskade system berörs av detta. Den generella rekommendationen att kräva tätare lösenordsbyte är inte införd i något av uppföljda IT-system. Staden har även rekommenderats att utveckla riktlinjer och metod för kontinuitetsplanering, riktlinjer för systemdrift samt riktlinjer för ändringshantering. Nya riktlinjer som behandlar områden där tidigare granskningar rekommenderat riktlinjer och rutiner för kontinuitetsplanering är under behandling. Enligt planeringen kommer dessa att behandlas i kommunstyrelsen under hösten De föreslagna riktlinjerna innehåller även en lösenordspolicy med bland annat krav på lösenordens längd, komplexitet och bytesfrekvens. Stadens informationssäkerhetssamordnare menar att den nya policyns krav på lösenordskonstruktion bör kompensera för en längre tid mellan bytena. Tidigare granskningar har pekat på vikten av att ha aktuella uppgifter i systemet ifacts som är stadens systemstöd för inventering och klassificering av stadens informationstillgångar. Uppgifter om status på inventering och klassificering generellt för Malmö stad är idag osäkra. IT-system som borde tas bort kan finnas kvar, system kan saknas och inventering kan vara gjord men inte vara uppdaterad, vilket innebär att det stora antalet krav som lagts till inte har hanterats. Förvaltningarna har fått i uppgift att uppdatera inventering och skapa åtgärdsplan för de krav som genererats efter uppdateringen senast den 30 juni Det är många åtgärder på gång inom de områden där tidigare IT-granskningar funnit brister och lämnat rekommendationer. I dagsläget är de dock i många fall inte åtgärdade. Revisionen är kritisk till att åtgärder ännu inte genomförts och anser att det är viktigt att under 2013 säkerställa att planerade åtgärder, riktlinjer och andra förändringar implementeras. RAPP Uppföljning IT-granskningar 3 (10)

4 2 Inledning/bakgrund Under de senaste åren har revisionskontoret genomfört granskningar av Malmö stads IT-verksamheter. Granskningarna har resulterat i anmärkningar på bl.a. kommunens behörighetsadministration, efterlevnad av lösenordshantering och kontinuitetsplanering. Med anledning av detta har Malmö stads förtroendevalda revisorer initierat detta granskningsprojekt i syfte att följa upp vilka brister som kvarstår och vilka åtgärder som kommer att vidtas för att komma tillrätta med säkerheten i kommunens olika IT-system. 3 Syfte, revisionsfråga och avgränsning 3.1 Syfte Syftet med granskningen har varit att följa upp vilka brister som kvarstår i Malmö stads IT-verksamheter med anledning av vad som framkommit i tidigare års granskningar samt vilka aktiviteter som kommer att vidtas under 2013 för att åtgärda dessa brister. 3.2 Revisionsfrågor Syftet har resulterat i nedanstående revisionsfrågor Vilka brister kvarstår att åtgärda avseende behörighetsadministration? Vilka brister kvarstår att åtgärda avseende lösenordshantering? Vilka brister kvarstår att åtgärda avseende kontinuitetsplanering? Hur säkerställs att bristerna åtgärdas under 2013? 3.3 Avgränsning Då granskningen syftar till att följa upp tidigare års IT-granskningar har denna granskning avgränsats till de fem IT-system som tidigare granskats och områdena behörighetsadministration och lösenordshantering. Granskningen har vidare avgränsats till kommunstyrelsen såsom systemägare till ovan nämnda IT-system och som ansvarig för samordningen av kontinuitetsplaneringen. Granskningens omfattning motsvarar en kortgranskning. 4 Revisionskriterier Malmö stads IT-säkerhetspolicy Regler och riktlinjer för IT-säkerhet i Malmö stad Rutin för klassificering av informationstillgångar i Malmö stad RAPP Uppföljning IT-granskningar 4 (10)

5 5 Granskningsansvariga Styrgruppen ur revisorskollegiet: Sten Dahlvid, Per Lilja, Anneli Bojesson och Berit Söderholm. Projektledare från revisionskontoret: Lotta Onsö Biträdes av: Fredrik Edler Kvalitetsgranskare: George Smidlund Sakkunnig revisor har prövat sitt oberoende med mera i enlighet med SKYREV:s rekommendation och inte funnit något hinder mot att utföra granskningen. 6 Metod Intervjuer har hållits med stadens informationssäkerhetssamordnare. Systemförvaltare och informationssäkerhetssamordnaren har också fått besvara frågor om vad som åtgärdats och vad som återstår av de synpunkter och rekommendationer som lämnades i tidigare granskningar. Styrdokument samt tidigare granskningsresultat har också studerats. 7 Resultat av granskningen Granskningen Behörighetsadministration och logisk säkerhet omfattade fem ITsystem. Vid hänvisning till granskade system är det dessa som avses. Representanter för de fem system som granskades har fått besvara frågor om status för sitt system inom områdena behörighetsadministration, lösenordshantering och ifacts. I uppföljningen av den övergripande kontinuitetsplaneringen i granskningen Kontinuitetsplanering inom IT-verksamheten har frågor om status besvarats av stadens informationssäkerhetssamordnare. Nedan redogörs för resultat av uppföljningarna. 7.1 Styrdokument under behandling Ett utkast till Riktlinjer och anvisningar för informationssäkerhet i Malmö Stad har utarbetats och ska enligt planeringen ut på remiss och behandlas av kommunstyrelsen under hösten Dokumentet omfattar flera områden som avhandlats i de granskningar som nu följs upp. Riktlinjerna innehåller exempelvis ett kapitel om styrning av åtkomst till IT-system, vilket omfattar såväl behörighetsadministration som lösenordsregler. Även hantering av tillgångar med förteckning och klassificering av informationen samt kontinuitets- och avbrottsplanering ingår i det nya styrdokumentet. RAPP Uppföljning IT-granskningar 5 (10)

6 7.2 Behörighetsadministration Vid uppföljning av Malmö stads behörighetsadministration har frågor ställts utifrån de brister som konstaterats och de åtgärder som rekommenderas i tidigare granskning av kommunens IT-system. Nedan återges frågorna och svaren som ställts till respektive systemförvaltare av de fem IT-system som följts upp och vilka åtgärder som vidtagits med anledning av den kritik och rekommendationer som framförts i tidigare granskning. Fråga/antal svar 1. Finns det ett heltäckande regelverk för behörighetsadministration (inkl. databas) kring nedanstående IT-system? 2. Finns det en rutin för kontinuerlig uppföljning av att regler och riktlinjer kring behörighetsadministrationen efterlevs avseende nedanstående IT-system? 3. Finns det regler för olämpliga kombinationer av systemrättigheter för samma användare (Segregation of Duty) för nedanstående IT-system? 4. Finns det en rutin för uppföljning av olämpliga kombinationer av systemrättigheter för samma användare för nedanstående ITsystem? 5. Finns det opersonliga användarkonton avseende nedanstående IT-system? Om opersonliga konton finns, vänligen redogör för dessa och motivera dess existens. 6. Sker det loggning och granskning av dessa loggar i nedanstående IT-system? Om det inte sker någon loggning eller granskning vänligen redogör för detta Ja Nej Revisionens kommentarer 3 2 Viss osäkerhet råder kring vad som krävs för att kalla rutinbeskrivningar eller dylikt för regelverk. 3 1 En uppgiftslämnare har inte svarat ja eller nej men anger att: Det genomförs kontinuerligt arbete för att säkerställa kvaliteten på behörighetsadministrationen. Denna och andra kommentarer tyder på att det även här finns en osäkerhet kring vad som krävs/behövs Systemet som har opersonliga användarkonton menar att det krävs några hos leverantören för support men att man försöker minimera antalet. 5 Två uppger att granskning sker vid behov/problem/misstanke om fel. RAPP Uppföljning IT-granskningar 6 (10)

7 7. Finns det en utvecklad rutin för användandet av sekretessavtal med personal som har åtkomst till sekretesskänslig information för nedanstående IT-system (inkl. databas)? 3 2 Stadens informationssäkerhetssamordnare påpekar att alla offentliganställda omfattas av sekretess, men att detta bör förtydligas såväl i introduktionen av nyanställda som i det löpande arbetet. Vidare bör en centralt framtagen mall för sekretessavtal tas fram. Värt att notera är att ett system saknar samtliga rutiner och uppföljningsrutiner. Det är alltså samma system som står för ett nej på fråga 1, 2, 3, 4 och Lösenordshantering I de planerade nya riktlinjerna stärks kraven på lösenord. Den största förändringen är att de tidigare riktlinjerna var utformade som förslag på lösenordskonstruktion medan de nu blir grundkrav som ska beslutas av kommunstyrelsen. De tidigare riktlinjerna var inte heller antagna i någon politisk instans. Två olika typer av krav på lösenord kommer att finnas: starkt och kvalificerat. Kravet regleras vid informationsklassificeringen och utgår bland annat från bedömning av sekretessnivå. Ny standard för lösenord omfattar fler tecken än tidigare och högre komplexitet. En generell rekommendation från tidigare granskning av IT-systemen var att samtliga system borde kräva tätare byten av lösenord. Inget IT-system levde i april 2013 upp till denna rekommendation. I de då gällande riktlinjerna står att lösenord ska bytas enligt beslutad termin och de granskade systemens bytesfrekvens kan därför inte sägas bryta mot riktlinjerna. Tidigare granskning rekommenderade dock en tätare bytesfrekvens. I de nya riktlinjerna föreslås ett längre och ett kortare bytesintervall. Det längre bytesintervallet som föreslås kompenseras enligt informationssäkerhetssamordnaren av förslaget på ny lösenordskonstruktion. I tidigare granskning påpekades även att komplexiteten (krav på kombinationer av bokstäver, siffror m.m.) i de lösenord som accepterades av flera system var för låg. Detta problem berör två av de granskade systemen. Om riktlinjerna antas krävs en beställning från eutvecklingsavdelningen till IT-drift för att ställa om lösenordskraven. 7.4 Kontinuitetsplanering Kontinuitetsplanering syftar till att säkerställa en kontinuerlig drift av IT-system bland annat genom att identifiera vad vi måste leverera, klassificera dessa åtaganden och bygga upp en beredskap mot incidenter. I granskning Kontinuitetsplanering inom IT-verksamheten som genomfördes 2009 lämnades ett antal rekommendationer. Granskaren rekommenderade att staden utvecklar riktlinjer och metod för kontinuitetsplanering, riktlinjer för systemdrift samt riktlinjer RAPP Uppföljning IT-granskningar 7 (10)

8 för ändringshantering. Rekommendationerna avsåg även punkter som borde regleras i dessa dokument. Avseende riktlinjer för kontinuitetsplanering och ändringshantering finns vid granskningstidpunkten inga antagna dokument. Båda dessa finns i de nya riktlinjer som omtalas under 7.1 men denna är inte beslutad då frågorna besvarades. Utvecklingen av en stadsövergripande och verksamhetsoberoende metod för kontinuitetsplanering pågår. Metoden består av tre steg och en pilotstudie genomförs just nu på MKB. Uppgiftslämnaren menar att då metoden är utvecklad och beslutad kommer rekommendationerna avseende att metod bör finnas samt vad som bör regleras i den att vara uppfyllda. Metodutvecklingsdelen planeras bli färdig innan sommaren och då metoden är fastställd påbörjas utvecklingen av metodstöd. Riktlinjer för systemdrift finns men kommer att revideras i de nya riktlinjerna. 7.5 ifacts Som systemstöd för systeminventering använder Malmö stad programmet ifacts. Det pågår ett aktivt arbete med att uppdatera ifacts. Kravlistan har uppdaterats med ett stort antal nya krav som systemansvarig ska ta ställning till. Knappt 350 system är införda i ifacts. Cirka 300 står som klassificerade men många klassificeringar gjordes för två år sedan och har inte uppdaterats sedan dess avseende uppgifter och krav. Kraven måste genereras om för att uppdateras med nya krav som lagts till i ifacts. Vissa system saknas troligen i ifacts och vissa ska troligen tas bort. Stadens informationssäkerhetssamordnare bedömer därför att dagens uppgifter angående antal system och antal klassificerade respektive oklassificerade inte är tillförlitliga. Direktivet från stadskontoret till förvaltningarna är att 30 juni ska följande vara gjort: Inventering (inkluderar klassificering). Uppdatera status på de krav som genereras utifrån uppgifter i inventeringen Skapa åtgärdsplan Efter sommaren bedöms därför uppgifterna i ifacts vara mer tillförlitliga. Granskningen Behörighetsadministration och Logisk säkerhet omfattade även systemklassificering med hjälp av ifacts avseende de granskade systemen. Här granskades i vilken omfattning momentet riskanalys genomförts. Då informationssäkerhetssamordnarens bedömning är att klassificering och kravhantering bör prioriteras har det riskanalysmoment skjutits framåt i planeringen. Samordnaren menar att momenten inventering och klassificering i sig är en form av riskanalys Inventering och klassificering Representanter för de fem system som granskades har fått besvara frågor om status för sitt system avseende inventering, klassificering och kravhantering. Ett system är färdig RAPP Uppföljning IT-granskningar 8 (10)

9 med de två förstnämnda momenten och planerar färdigställa kravhanteringen under hösten. Tre system ska enligt planeringen vara färdiga med de två första stegen till 30 juni. I ett fall är man osäker på om planeringen håller då alla resurser går åt till stadens omorganisation. Avseende ett system planeras uppdateringen under hösten Kravhantering Till den 30 juni ska en åtgärdsplan skapas. Kraven behöver dock inte vara åtgärdade. Troligtvis är detta anledningen till att uppgiftslämnarna för två system uppger att momentet planeras vara färdigt under hösten 2013, två uppger att ingen planering gjorts och ett inte uppgett något svar. Den riskanalys som granskades i den tidigare granskningen har som nämnts ovan skjutits på framtiden för att komma framåt med inventering, klassificering och kravhantering Uppföljning Efter semestern kommer informationssäkerhetssamordnaren att följa upp att det som skulle göras till halvårsskiftet gjorts, varför det inte är gjort där det inte är gjort samt vilket arbete som återstår. Resultatet kommer att redovisas uppåt inom stadskontoret samt till förvaltningschefer. Uppföljning av att regelbunden uppdatering av informationen i ifacts görs ska fortsättningsvis finnas på årsbasis. Informationssäkerhetssamordnaren planerar att följa upp olika aspekter beroende på vad som prioriteras. I år kommer uppföljningen att avse den inventering och kravhantering som ska genomföras under första halvåret. Nästa år kan uppföljningen komma att avse att krav införts, avbrottsplanering och/eller andra prioriterade moment. 8 Slutsats Behörighetsadministration: Stora brister kvarstår huvudsakligen i ett IT-system. I några IT-system finns det fortfarande behov av ett regelverk kring behörighetsadministrationen och rutiner för uppföljning av detta för att säkerställa att regler och riktlinjer med rimlig säkerhet följs. Även utvecklandet av en rutin för sekretessavtal bör ses över för två IT-system. Lösenordshantering: Rekommendationen från tidigare granskning om krav på större komplexitet på lösenord är inte införd i centralt knutna system, vilket berör två av de granskade systemen. Den generella rekommendationen i tidigare granskning att kräva tätare lösenordsbyte är inte införd i något av de uppföljda IT-systemen. I det senare fallet menar inforationssäkerhetssamordnaren att den nya policyns krav på ökad lösenordskonstruktion bör kompensera för en längre tid mellan bytena. Kontinuitetsplanering: Riktlinjer i enlighet med tidigare granskares rekommendationer finns i ett fall: systemdrift. Övriga rekommenderade riktlinjer, för kontinuitetsplanering och ändringshantering, finns med i de mer omfattande riktlinjer för informationssäkerhet som kommer att behandlas i kommunstyrelsen under hösten Metod för kontinuitetsplanering är också under utveckling i en pilotstudie. RAPP Uppföljning IT-granskningar 9 (10)

10 ifacts: Uppgifter om status på inventering och klassificering generellt för Malmö stad är idag osäkra. IT-system som borde tas bort kan finnas kvar, system kan saknas och inventering kan vara gjord men inte vara uppdaterad, vilket innebär att det stora antalet krav som lagts till inte har hanterats. Förvaltningarna har fått i uppgift att uppdatera inventering och skapa åtgärdsplan för de krav som genererats efter uppdateringen senast den 30 juni Efter detta bör uppgifterna i ifacts vara mer tillförlitliga. Av de fem system som valdes ut i tidigare granskning är statusen avseende uppdatering av inventering och klassificering att ett system är färdigt, tre planeras vara färdiga 30 juni och ett under hösten Statusen för kravhanteringen är att inget system är färdigt. Två system planeras vara kravhanterade hösten 2013, två har ingen planering för momentet och för ett lämnas inget svar. Det är många åtgärder på gång inom de områden där tidigare IT-granskningar funnit brister och lämnat rekommendationer. I dagsläget är de dock i många fall inte åtgärdade. Revisionen är kritisk till att åtgärder ännu inte genomförts och anser att det är viktigt att under 2013 säkerställa att planerade åtgärder, riktlinjer och andra förändringar implementeras. Här omfattas exempelvis att den lösenordspolicy som beslutas av kommunstyrelsen införs i samtliga system, riktlinjer och metod för stadens kontinuitetsplanering beslutas och implementeras, att ifacts uppdateras för att utgöra ett tillförlitligt underlag i bland annat kontinuitetsplanering för Malmö stads IT-system samt att brister i säkerheten vid behörighetsadministration åtgärdas. 9 Källor Bo-Göran Andersson, informationssäkerhetssamordnare Representanter för berörda IT-system RAPP Uppföljning IT-granskningar 10 (10)