Revisionsrapport 2017 Genomförd på uppdrag av revisorerna december Laholms kommun Granskning av IT-säkerhet och informationssäkerhet

Transkript

1 Revisinsrapprt 2017 Genmförd på uppdrag av revisrerna december 2017 Lahlms kmmun Granskning av IT-säkerhet ch infrmatinssäkerhet

2 Innehåll 1. Sammanfattning Inledning Bakgrund Syfte ch avgränsning Revisinsfrågr Revisinskriterier Metd Revisinskriterier Granskningsstruktur Myndigheten för samhällsskydd ch beredskaps ramverk för IT-säkerhet, BITS Kmmunens arbete avseende IT-säkerhet ch infrmatinssäkerhet Kntrllmiljö Riskanalys Kntrllåtgärder Infrmatin ch kmmunikatin Uppföljning ch utvärdering Implementering av GDPR ch NIS-direktivet Analys avseende intern kntrll...17 Bilagr: Bilaga 1 - Intervjuade funktiner 2

3 1. Sammanfattning Granskningens övergripande syfte är att bedöma hur kmmunstyrelsen säkerställer kmmunens arbete med IT-säkerhet ch infrmatinssäkerhet. Inm ramen för granskningen har vi bedömt ett antal lika kntrllpunkter fördelade på de lika mmenten kntrllmiljö, riskanalys, kntrllaktiviteter, infrmatin/kmmunikatin ch utvärdering/uppföljning. Resultatet av granskningen visar följande fördelning. Sammanfattande tabell, kntrllpunkter; Kntrllen finns ch fungerar tillfredsställande. Kntrllen finns ch fungerar delvis. Kntrllmiljö Riskanalys Kntrllåtgärd Infrmatin/km Uppföljning/utvärdering Kntrllen finns ej eller fungerar ej tillfredsställande. Det är vår sammanfattande bedömning att Lahlms kmmun inte har en helt tillfredsställande IT-säkerhet. Det finns ett flertal mråden med förbättringsptential i enlighet med COSO-analysen. Vi bedömer det sm en svaghet att det inm kmmunen inte finns en beslutad infrmatinssäkerhetsplicy. Det är dck vår bedömning att det finns en förståelse för vikten av det förändringsarbete sm implementeringen av den nya dataskyddsförrdningen (GDPR) innebär. Vi rekmmenderar kmmunstyrelsen att säkerställa att en infrmatinssäkerhetsplicy upprättas ch beslutas att säkerställa att verksamhetskritiska system klassificeras att säkerställa att det finns en ansvarsfördelning för kmmunens samtliga infrmatinstillgångar att utarbeta ch dkumentera en kntinuitetsplan för rganisatinens system att besluta m lägsta acceptabla tider sm infrmatinssystem får vara ur funktin 3

4 2. Inledning 2.1. Bakgrund Idag bedrivs så gtt sm all verksamhet i en kmmun med någn frm av datriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet ch antalet lika prgramvarr är strt. För att uppnå kmmunens mål krävs att infrmatinen i verksamhetsstödet är tillgänglig, riktig, har krrekt knfidentialitet samt är spårbar. Den 25 maj 2018 kmmer den nya dataskyddsförrdningen att ersätta den svenska persnuppgiftslagen ch bli lag i Sverige. Det nya regelverket kan innebära stra förändringar för den kmmunala verksamheten vilket gör det angeläget att börja analysera knsekvenser för kmmunens verksamheter ch planera för anpassning till det nya regelverket. Mt bakgrund av genmförd risk- ch väsentlighetsanalys har revisrerna beslutat att granska kmmunens arbete med intern kntrll av IT-säkerheten samt planering för anpassning till dataskyddsförrdningen Syfte ch avgränsning Granskningens övergripande syfte är att granska hur effektivt Lahlms kmmun arbetar med infrmatinssäkerhet. Granskningen utgår från ett intern kntrllperspektiv där granskningen sker av hur kmmunstyrelsen följer ch leder arbetet med intern kntrll inm ITsäkerhetsmrådet för att säkerställa att den interna kntrllen är tillräcklig. Avgränsning Granskningen avser kmmunstyrelsens arbete med IT-säkerhet ch infrmatinssäkerhet ch baseras på infrmatin från intervjuer ch dkumentstudier. Inga tester av IT-säkerheten eller infrmatinssäkerheten har genmförts, såsm generella IT-kntrller eller applikatinskntrller. Det kan finnas brister i kmmunens hantering av IT sm vi inte har identifierat Revisinsfrågr I granskningen kmmer följande huvudmråden att följas upp: Kntrllmiljö Säkerhetsplicy Säkerhetsrganisatin Riskanalys Vilka riskanalyser av IT-säkerheten genmförs Kntrllåtgärd Klassificering ch kntrll av tillgångar Persnal ch säkerhet Fysisk ch miljörelaterad säkerhet Styrning av åtkmst Styrning ch kmmunikatin av drift Infrmatin ch kmmunikatin Incidenthantering Uppföljning ch utvärdering 4

5 Systemutveckling ch underhåll Kntinuitetsplanering Efterlevnad 2.4. Revisinskriterier COSO-mdellens ramverk för intern kntrll utgör grundkriterierna för granskningen. Vidare har granskningen genmförts mt så kallad gd praxis inm infrmatinssäkerhetsmrådet genm utvalda delar av Myndigheten för samhällsskydd ch beredskaps ramverk för IT- ch infrmatinssäkerhet BITS (Basnivå för IT-säkerhet), sm är ett etablerat ramverk i ett strt antal kmmuner ch inm ffentlig förvaltning. Ramverket bygger på den svenska ch internatinella standarden för infrmatinssäkerhet, ISO/IEC Dataskyddsförrdningen samt styrande ch stödjande dkument från Datainspektinen ligger till grund för granskningen i den del sm avser dataskyddsförrdningen. Ansvarig nämnd Granskningen avser kmmunstyrelsen Metd Granskningen har genmförts genm insamling av bakgrundsinfrmatin inför intervjuer. Relevant infrmatin är rganisatin, IT-säkerhetsplicy, riskanalyser, rapprtering av kntrllaktiviteter, tidigare granskningsrapprter mm. Intervjuer med representanter från kmmunens ITrganisatin sm arbetar med IT-ch infrmatinssäkerhet. Utifrån insamlat material har en bedömning gjrts av kmmunens IT-säkerhets- ch infrmatinssäkerhetsarbete. De intervjuade har beretts tillfälle att faktagranska rapprten. 5

6 3. Revisinskriterier 3.1. Granskningsstruktur Kntrllmiljön anger tnen i en rganisatin ch påverkar kntrllmedvetenheten hs dess medarbetare. Faktrer sm innefattas av kntrllmiljön är integritet, etiska värden, kmpetensen hs medarbetarna i rganisatinen, ledningens filsfi ch ledarstil, det sätt på vilket ledningen fördelar ansvar ch befgenheter ch rganiserar ch utvecklar dess medarbetare samt den uppmärksamhet ch vägledning sm ledningen ger. Riskbedömning, vilket innebär identifiering, analys ch hantering av relevanta risker för att uppnå rganisatinens mål ch krav. Riskvärderingen bör alltid dkumenteras i syfte att förtydliga systematiken. Kntrllaktiviteter är de riktlinjer ch rutiner sm bidrar till att säkerställa att brister upptäcks ch att direktiv genmförs. De bidrar till att säkerställa att nödvändiga åtgärder vidtas för att hantera risker för att rganisatinens mål inte uppnås. Infrmatin ch kmmunikatin måste identifieras, fångas, ch förmedlas i en sådan frm ch inm en sådan tidsram att de anställda kan utföra sina uppgifter. Interna styr- ch kntrllsystem behöver övervakas, följas upp ch utvärderas en prcess sm bestämmer kvaliteten på systemets resultat över tid. Det åstadkms genm löpande övervakningsåtgärder ch uppföljningar, separata utvärderingar eller en kmbinatin av dessa Myndigheten för samhällsskydd ch beredskaps ramverk för IT-säkerhet, BITS Begreppet infrmatinssäkerhet mfattar IT-säkerhet ch administrativ säkerhet. IT-säkerhet är skydd av infrmatin i infrmatinsbehandlande tekniska system. Administrativ säkerhet avser regler för persnal ch säkerhetsklassning av infrmatin. Infrmatinssäkerhet innebär att tillgänglighet, riktighet, knfidentialitet ch spårbarhet säkerställs. För att kunna säkerställa en tillräcklig nivå av infrmatinssäkerhet är det viktigt att infrmatinssäkerhetsarbetet bedrivs systematiskt ch långsiktigt. Myndigheten för samhällsskydd ch beredskap (MSB) har utarbetat ett ramverk sm utgör en basnivå för infrmatinssäkerhet. EY har utifrån detta ramverk ch erfarenheter från tidigare granskningar inm mrådet valt ut följande aspekter att fkusera på: säkerhetsplicy, rganisatin, riskanalyser av IT-säkerheten, klassificering ch kntrll av tillgångar, persnal ch säkerhet, fysisk ch miljörelaterad säkerhet, styrning av åtkmst ch kmmunikatin av drift, incidenthantering, systemutveckling ch underhåll samt kntinuitetsplanering. 6

7 4. Kmmunens arbete avseende IT-säkerhet ch infrmatinssäkerhet Rapprten redvisar i vilken grad kmmunen uppfyller valda rekmmendatiner ur BITS. Resultatet är en sammanvägd bedömning, sm baseras på infrmatin sm lämnats vid intervjuerna samt genm erhållen dkumentatin. Den sammanvägda bedömningen av svaren på kntrllerna har bedömts enligt följande alternativ: Ja Delvis Nej E/T Kntrllen finns ch fungerar tillfredsställande. Kntrllen finns ch fungerar delvis. Kntrllen finns ej eller fungerar ej tillfredsställande. Ej tillämplig, kntrllen behövs ej av särskilda skäl Kntrllmiljö I kntrllmiljön ingår mment sm kan hänföras till ledningsfrågr, rganisatin, riktlinjer ch styrdkument samt resursfrågr. Kntrllmiljön inbegriper fta målfrmuleringar eller andra krav sm ställs på verksamheten, därför är bedömning av riktlinjer av särskilt intresse. Även persnalens kmpetens ch de insatser sm genmförs sm vidareutbildning m.m. ingår i kntrllmiljön. Kntrllmiljön är viktig för att bedöma kmmunens förmåga att leda verksamheten i riktning mt säkerhet i ch i anslutning till infrmatinssäkerhetssystemen. IK 1 Organisatin av säkerheten, plicy m.m. 1.1 Finns plicy ch riktlinjer för infrmatinssäkerhet? Det finns ingen beslutad plicy eller riktlinjer för infrmatinssäkerheten i kmmunen. Det har genmförts en förstudie sm tar sin grund i MSB:s åtta rekmmendatiner för kmmuner. Förstudien är inte beslutad av kmmunstyrelsen. Det finns beslutade riktlinjer för säkerhetsanalys. Dessa inkluderar säkerhetsanalys, handlings- ch åtgärdsplan ch hantering av infrmatin. 1.2 Beskriv rganisatin, kmpetens ch behv IT-chefen leder under kmmunstyrelsen arbetet med IT- ch infrmatinssäkerhet. Det finns därutöver en säkerhetschef i kmmunen. Denne har dck inte ansvar för IT- eller infrmatinssäkerhetsrelaterade frågr utan primärt räddningstjänsten. Det genmförs dck inm kmmunen för tillfället en mrganisatin där säkerhetschefens arbetsuppgifter utvärderas. Under IT-chefen utgörs rganisatinen av en medarbetare sm arbetar med säkerhet, en driftchef, en utredare ch fyra IT-tekniker. Utredningstjänsten har delvis ckså i uppgift att arbeta med säkerhetsrelaterade frågr. 7

8 1.3 Finns det en infrmatinssäkerhetssamrdnare eller mtsvarande? IT-chefen är infrmatinssäkerhetssamrdnare i kmmunen. IT-chefen samlar in infrmatin m hur verksamheterna arbetar med infrmatinssäkerhet. Kmmunen tillämpar inga samrdningsverktyg för detta arbete. 1.4 Har rganisatinen utsett systemägare för samtliga infrmatinssystem? Systemägare ch förvaltare är utsedda till kmmunens samtliga större infrmatinssystem. Detta mfattar främst eknmi-, persnal- ch de verksamhetsmässiga systemen. Systemägarna är dkumenterade i applikatinskatalgen. Det finns dck enligt intervju frtfarande mindre system där det inte finns någn utsedd systemägare. 1.5 Finns det en samrdningsfunktin för att länka samman den perativa verksamheten för infrmatinssäkerhet ch ledningen? Det är uttalat att kmmunstyrelsen ansvarar för säkerheten inm kmmunen vilket inkluderar infrmatinssäkerhet. Under kmmunstyrelsen finns ett digitaliseringsnätverk med representanter från kmmunens verksamheter. Nätverket är beredande för kmmunstyrelsen. Exempelvis är denna grupp beredande för IT-verksamhetsplanen. Nätverket hanterar ckså IT-säkerhetsfrågr. IT-chefen har ckså en samrdnande funktin under kmmunstyrelsen 1.6 Har ansvaret för infrmatinssäkerheten reglerats i avtal i de fall verksamhet/drift m.m. lagts ut på en utmstående rganisatin? Kmmunen har inte någn i betydande utsträckning förlagt IT-drift på utmstående. Kmmunen använder sig av vissa mindre mlntjänster varpå infrmatinssäkerhet enligt uppgift har reglerats i avtal Riskanalys I riskanalysen ingår att bedöma hur kmmunen arbetar med IT-säkerheten utifrån riskanalys ch identifiering av lika risker. Riskanalysen bör vara utfrmad med vedertagna metder m sannlikhet ch knsekvenser. Riskanalysen bör ckså vara genmförd av medarbetare/persner sm besitter tillräcklig kmpetens för att identifiera ch bedöma risker. Handlingsplaner bör vara kpplade till risker sm har höga riskvärden. IK 2 Riskanalys 2.1 Genmförs riskanalyser avseende IT- ch infrmatinssäkerhet? Av intervju framkmmer att det nyligen genmfördes en riskinventering av IT- ch infrmatinssäkerheten inm kmmunen. Dkumentstudier visar att denna är upprättad sm en risk- ch väsentlig- 8

9 2.2 Har verksamhetskritiska IT-system identifierats ch bedömts? hetsanalys enligt vedertagen mdell. 13 riskmråden är identifierade ch bedömda utifrån dess risk ch väsentlighet enligt en femgradig skala. Riskvärdet multiplicerat med väsentlighetsvärdet utgör ett risktal. Därtill mfattar risk- ch väsentlighetsanalysen vilka rutiner sm finns i syfte att mtverka risker samt bedömningar av åtgärdsbehv. Riskmrådena i analysen mfattas av såväl verksamhetsmässiga risker sm kmmunmedlemmarnas behv av funktinella tjänster vilka påverkar IT-miljön. Den högst värderade risken är vi har inte ett systematiskt arbetssätt kring infrmatinssäkerhet. Till detta riskmråden är det kmmenterat att kmmunen för tillfället ser över infrmatinssäkerheten. Risk- ch väsentlighetsanalysen har enligt uppgift lyfts i såväl digitaliseringsnätverket sm kmmunstyrelsen. Specifika system har identifierats sm särskilt verksamhetskritiska vilka kräver en högre grad av tillgänglighet än andra. Däremt har inte samtliga system bedömts eller dkumenterats utifrån klassificering. Av intervju framkmmer att ett sådant arbete har påbörjats sm del av prjektet GDPR (arbetet kpplat till dataskyddsförrdningen). 2.3 Har mständigheter sm ska betecknas sm kris/katastrf (extrardinära händelser) för verksamheten kartlagts? Nej. Av intervju hänvisas till risk- ch väsentlighetsanalysen. Denna lyfter dck inte riskmment sm mfattar extrardinära händelser sm kan betecknas sm kris ch/eller katastrf. 9

10 Klassificering ch kntrll av tillgångar 2.4 Är rganisatinens infrmatin klassad avseende sekretess/riktighet/tillgänglighet (har systemägarna yttrat sig m klassning)? Det varierar berende på verksamhetstyp. Inm exempelvis scialtjänsten har infrmatin klassats, framförallt i verksamhetssystemen. Detta främst för att säkerställa rätt behörighet vid slagningar på individer. Det framförs att det inte genmförts dkumentklassningar av Wrd- ch Exceldkument. Det ses för tillfället över m sådan klassning ska införas med anledning av den nya dataskyddsförrdningen. 2.5 Har samtliga infrmatinssystem identifierats ch dkumenterats i en aktuell systemförteckning? Delvis. Systemen är dkumenterade i applikatinskatalg. Denna mfattar ttalt 87 prgramvarr ch inkluderar installatinsplats samt systemägare. Av intervju framkmmer att det kan finnas ett fåtal prgram av mindre vikt sm inte är inkluderad i systemkatalgen. 2.6 Finns det en ansvarsfördelning för rganisatinens samtliga infrmatinstillgångar? Nej. Det finns ansvarsfördelningar för många mråden men inte för samtliga. Det har förekmmit att det vid ett tillfälle funnits sekretessmaterial sm delats ut i större utsträckning än vad sm var tillåtet. Detta på grund av att fel server använts. Misstaget åtgärdades när det upptäcktes Kntrllåtgärder Kntrllåtgärder är lika insatser sm genmförs för att minska riskerna i verksamheten ch bidra till en ökad intern kntrll av prcesserna. De mment sm vi bedömer under detta avsnitt är: persnal ch säkerhet, fysisk ch miljörelaterad säkerhet, styrning av kmmunikatin ch drift, styrning av åtkmst samt anskaffning, utveckling ch underhåll av infrmatinssystem. Kntrllsystemen bidrar till att säkerställa IT-systemen är tillgängliga för rätt persn i rätt tid ch på ett spårbart sätt. IK 3 Persnal ch säkerhet 3.1 Får inhyrd/inlånad persnal infrmatin m vilka säkerhetskrav ch instruktiner sm gäller? (utbildning/ intrduktin/kurs m.m.) 3.2 Har systemägaren definierat vilka krav sm ställs på användare sm får tillgång till infrmatinssystem ch infrmatin (leta infrmatin i individuella akter m.m.)? Ja. Detta gäller främst inm scialtjänstmrådena samt sklan. Exempelvis får inhyrda sjuksköterskr ch rektrer intrduktin till systemen samt infrmatin m de gällande säkerhetsrutinerna. Det anses vid intervju att så är fallet. Det finns infrmatinsprgram för de anställda i kmmunen ch särskilda sådana för specifika verksamhetssystem. Det genmförs utbildning för systemanvändning. Det genmförs ckså stickprv i lggar på 10

11 3.3 Genmförs regelbundet utbildningsinsatser inm infrmatinssäkerhet? akter för att kntrllera detta. Det kmmer att införas stickprv ckså på medicinskåp på förekmmen anledning. Det genmförs utbildningar kntinuerligt för nyanställda. Kmmunen har infört ett IT verktyg för prcesskartläggning. I prcesserna ingår att chefer ska infrmera ch utbilda m infrmatinssäkerhet. Det genmförs ckså utbildning vid införandet av nya system. 3.4 Dras åtkmsträtten till infrmatin ch infrmatinsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? Ja. Detta genmförs med autmatik. Kmmunens AD-katalg är knuten till anställningen. Detta är av vikt för säkerheten men ckså för licenser till prgramvara. Kmmunen vill inte betala mer för licenser än vad sm är nödvändigt. Fysisk ch miljörelaterad säkerhet 3.5 Finns funktiner för att förhindra behörigt fysisk tillträde till rganisatinens lkaler ch infrmatin? 3.6 Har IT-utrustning sm kräver avbrttsfri kraft identifierats? 3.7 Finns larm kpplat till larmmttagare för: - Brand, temperatur, fukt? - Sker test av larmmttagare? 3.8 Finns i direkt anslutning till viktig datrkmmunikatinsutrustning en klsyresläckare? 3.9 Raderas känslig infrmatin på ett säkert sätt från utrustning sm tas ur bruk eller återanvänds? (mfrmatering, raderingsprgram m.m.) 3.10 Finns särskilda säkerhetsåtgärder för utrustning utanför rdinarie arbetsplats? 3.11 Finns infrmatin ch regler sm anger att IT-utrustning Ja. Det tillämpas tag-system i kmmunens lkaler. För lkaler till infrastruktur till IT, så sm serverrum, finns det mfattande säkerhet. Besökare hämtas i receptinen av tjänstepersnen denne besöker. Ja. Ja. Kmmunen har därtill fått medel från MSB för att säkerställa detta säkerhetsarbete. MSB följer upp tilldelningen av medel genm kntrller. Ja. Enligt intervju finns detta. Ja. Datrer lggfrmateras när de tas ur bruk eller byter användare. Detta sker främst för datrer inm sklan. Scialtjänstens datrer återanvänds aldrig. Hårddiskarna klipps vid destruering. Ja, kmmunen har särskilda verktyg för att nå system utanför lkalerna. Det tillämpas en tvåfaktrsinlggning med engångslösenrd. Använder WMware för krypterade virtuella servrar. Både ja ch nej. Att använda datr utanför kmmunens lkaler kräver chefs tillåtelse. Att använda smartphne utanför kmmunens lkaler kräver ej 11

12 m.m. inte får föras ut från rganisatinens lkaler utan medgivande från ansvarig chef? tillåtelse. Detta tydliggörs i kmmunens riktlinjer för distansarbete Finns driftdkumentatin för verksamhetskritiska infrmatinssystem? (backup, jurpärm m. kntaktpersner) Delvis. Det finns driftdkumentatin för vissa system genm lggar. IT-miljön är autmatiserad så att rätt persn får varning m någt system inte fungerar sm det ska Sker system-/prgramutveckling samt tester av mdifierade system åtskilt från driftsmiljön? 3.14 Finns rutiner för hur utmstående leverantörers tjänster följs upp ch granskas? 3.15 Gdkänner systemägaren eller annan lämplig persnal driftsättningar av förändrade infrmatinssystem? Det finns testmiljöer för de verksamhetskritiska systemen. För andra system saknas det testmiljöer. Ja. Dessa kntrlleras ckså. Det framförs vid intervju att knsulter kan tycka att de är för petiga i detta avseende. Har kntrll för överlämning till drift. Ja. Exempelvis vid uppdateringar testar systemförvaltaren att allt fungerar innan prgramvaran driftsätts Finns det för både servrar ch klienter rutiner för skydd mt skadlig prgramkd? Ja. Dessa är skyddade på flera lika sätt. Det kan trts detta finnas risk för skadlig prgramvara men då vanligtvis på grund av den mänskliga faktrn. Det har därför genmförts utbildningar m att exempelvis inte öppna länkar i mail m avsändaren inte är känd Har rganisatinens nätverk delats upp i mindre enheter (segmentering) så att en (virus-) attack enbart drabbar en del av nätverket? 3.18 Genmförs säkerhetskpiering regelbundet? 3.19 Saknas det alternativa vägar vid sidan av rganisatinens brandvägg in till det interna nätverket? Ja. Nätverket är fysiskt segmenterat på flera lika mråden. Detta enligt VLAN 1 -principer. Ja. Varje natt. Vissa system säkerhetskpieras ftare än så. Det genmförs ckså tester för att säkerställa att det finns innehåll i backuperna. Ja. Allt går via brandväggen. Det framförs att det är viktigt med stringensen i detta. Särskilt i förhållande till leverantörer. Kmmunen har därtill infört ett system för kntinuerliga penetratinstester tillsammans med Hylte, Falkenberg ch Varberg. 1 VLAN är ett virtuellt nätverk sm utgör en segmenterad del av det fysiska nätet. 12

13 3.20 Finns det dkumenterade regler avseende vilken infrmatin sm får skickas utanför rganisatinen? (ex sekretessbelagd inf) 3.21 Sparas revisinslggar för säkerhetsrelevanta händelser? Ja. Detta tydliggörs i kmmunens riktlinjer för säkerhetsanalys. Ja, det finns säkerhetslggar i de system sm tilllämpar funktinen. Dessa raderas aldrig. Styrning av åtkmst 3.22 Har rganisatinen satt upp dkumenterade regler för åtkmst/tillträde för tredje parts åtkmst till infrmatin eller infrmatinssystem? 3.23 Tilldelas användare en behörighetsprfil sm endast medger åtkmst till de system sm krävs för arbetsuppgiften? Det finns för vissa system reglerat i avtal hur åtkmst till infrmatin får ske. Detta regleras gentemt knsultfirman ch inte enskilda externa knsulter. Huvudregeln är att användare inte ska ha större tillgång än vad sm krävs för arbetsuppgifterna. Vid särskilda tillfällen, så sm semestertider, kan behörighetsgraden höjas för medarbetare i syfte att säkerställa driften Begränsas rätten att installera nya prgram i nätverket samt den egna arbetsstatinen till endast utsedd behörig persnal? Det är begränsat vilken prgramvara sm kan installeras på server. På enskildas datrer är det möjligt att installera prgramvara. Samtliga datrer har dck virusprgram vilket mtverkar risken att installera skadlig prgramvara Har samtliga administratörer fullständiga systembehörigheter eller endast vad sm krävs för att fullgöra arbetsuppgiften? Administratörer har rättigheter till system sm krävs för sina ansvarsuppgifter. IT-chefen ansvarar för bedömningen av vad sm anses vara nödvändig behörighet Genmförs kntinuerligt (minst en gång per år) kntrll av behörigheterna i rganisatinen? Ja. Detta sker till str del per autmatik mt ADregistret sm reglerar behörighet för anställda sm slutat alternativt bytt arbetsuppgifter Öppnas låsta användarkntn endast efter säker identifiering av användaren? Ja, det anses vid rutin att sådana kntrller görs. Om en persn inte känns igen görs kntrller av denne bland annat genm kntrllfrågr. Krav för säker identifiering är inte dkumenterat Finns en gemensam lösenrdsplicy? Delvis. Det finns ingen central plicy. Däremt finns krav på att lösenrd är inbyggda i systemen. 13

14 3.29 Finns en dkumenterad brandväggsplicy där det beskrivs vilka tjänster brandväggen ska tillhandahålla? Inte en fullständig förteckning. Av intervju framgår att det finns flera tusen regler för brandväggen vilket är svårt att dkumentera. Finns dck beskrivningar i brandväggen för vad de lika reglerna har för syfte. Istället testas brandväggen genm penetratinstester Har rganisatinen ställt ch dkumenterat tekniska säkerhetskrav ch krav på praktisk hantering avseende användandet av mbil datrutrustning ch distansarbete? 3.31 Finns det aktuell dkumentatin med regler för distansarbete? Ja. Detta är tydliggjrt i kmmunens riktlinjer för distansarbete samt riktlinjer för användande av kmmunens datrer ch internet. Samma sm dkumentatinen Anskaffning, utveckling ch underhåll av infrmatinssystem 3.32 Har en systemsäkerhetsanalys upprättats ch dkumenterats för varje infrmatinssystem sm bedöms sm viktiga? 3.33 Krypteras persndata sm förmedlas över öppna nät? 3.34 Finns det utsedd persnal sm ansvarar för systemunderhåll (angivna persner per system?) 3.35 Finns det regler ch rutiner för hur system- ch prgramutveckling ska genmföras? 3.36 Finns det en uppdaterad ch aktuell systemdkumentatin för infrmatinssystemen? Det finns systemsäkerhetsplaner på flertalet infrmatinssystem men inte för samtliga. Kmmunen kan inte garantera att det görs för uppgifter sm enskilda medarbetare skickar över mail. Däremt används krypterade verktyg för krrespndens med myndigheter eller liknande innehållandes persndata. System till systemkrrespndens är alltid krypterad. Ja. Kmmunen köper främst paketerade system. Har inte egen prgramutveckling. För kmmunens vidkmmande är detta inte så relevant. Ja. Denna tillhandahålls av leverantörerna. De större systemen har mfattande dkumentatin vilken ckså kmmunen har tillgång till Infrmatin ch kmmunikatin Det är av str vikt att medarbetare vet var de ska vända sig eller hur de ska agera vid lika situatiner. Hantering av infrmatinssäkerhetsincidenter ingår därför sm en del av infrmatins- ch kmmunikatinskanalerna genm att medarbetare ska ha just den infrmatinen m störningar m.m. i systemen uppstår. 14

15 IK 4 Hantering av infrmatinssäkerhetsincidenter 4.1 Finns det dkumenterade instruktiner avseende vart användare skall vända sig ch hur de ska agera vid funktinsfel, misstanke m intrång eller vid andra störningar? 4.2 Har medarbetarna kunskap m vart de ska vända sig? Ja. Finns instruktiner på kmmunens servicedesk. Ja, enligt intervju finns det gd kunskap m detta Uppföljning ch utvärdering Sm utvärdering bedöms kntinuitetsplanering i verksamheten samt efterlevnaden. Det vill säga hur verksamheten upprätthålls vid avbrtt eller störningar. IK 5 Kntinuitetsplanering i verksamheten 5.1 Finns det en gemensam kntinuitetsplan dkumenterad för rganisatinen? 5.2 Har systemägaren eller mtsvarande beslutat m den längsta acceptabla tid sm infrmatinssystemet bedöms kunna vara ur funktin innan verksamheten äventyras? 5.3 Finns det en dkumenterad avbrttsplan med återstartsch reservrutiner för datadriften sm vidtas inm ramen för den rdinarie driften? Efterlevnad Nej, inte samlad. I enstaka system finns det men inte för hela. I vissa system finns det sådana bedömningar men inte för samtliga. Det finns avbrttsplaner men dessa är inte dkumenterade. De är inbyggda i systemen. Inm driftrganisatinen finns det kunskap m hur applikatiner ska startas m. 5.4 Används endast prgramvarr i enlighet med gällande avtal ch licensregler? 5.5 Har rganisatinen förtecknat ch anmält persnuppgifter till persnuppgiftsmbud? 5.6 Genmförs interna ch externa penetratinstester kntinuerligt? 5.7 Granskar ledningspersner regelbundet att säkerhetsrutiner, plicy ch nrmer efterlevs? Kmmunen har övergått till Office 365 för prdukter från Micrsft där kmmunen hade sämst kntrll över licenserna. Övergången har underlättat följsamhet gentemt licensregler. Ja. Ja. Ja. Det genmförs månatligen stickprv, lggtester mm. 15

16 4.6. Implementering av GDPR ch NIS-direktivet IT-enheten har påbörjat arbetet med övergången till den nya dataskyddsförrdningen ch NISdirektivet. Av intervju framförs att IT-enhetens utredare har sm uppgift att utarbeta en prjektplan för implementeringen av dataskyddsförrdningen. Av intervju framkmmer att arbetet med implementeringen frtlöper i enlighet med prjektplanen. Dels avseende de tvingande kraven ch dels m önskvärda målsättningar. Den huvudsakliga svårigheten med den nya lagstiftningen upplevs vara hanteringen av persnuppgifter i löpande text så sm e-pst ch tjänsteskrivelser. Kmmunens verksamhetssystem är i detta avseende mer anpassningsbara gentemt de nya lagstiftningarna. 16

17 5. Analys avseende intern kntrll Inm ramen för granskningen har vi bedömt ett antal lika kntrllpunkter fördelade på lika mment inm intern kntrll. Resultatet av granskningen visar följande fördelning. Sammanfattande tabell, kntrllpunkter Kntrllen finns ch fungerar tillfredsställande. Kntrllen finns ch fungerar delvis. Kntrllmiljö Riskanalys Kntrllåtgärd Infrmatin/km Uppföljning/utvärdering Kntrllen finns ej eller fungerar ej tillfredsställande. Vår bedömning är att Lahlms kmmun inte har en helt tillfredsställande IT-säkerhet. Det finns flera mråden med förbättringsptential i enlighet med COSO-analysen. Det är vidare vår bedömning att det finns en förståelse för vikten av det förändringsarbete sm implementeringen av den nya dataskyddsförrdningen (GDPR) innebär. Kntrllmiljö I kntrllmiljön ingår mment sm kan hänföras till ledningsfrågr, rganisatin, riktlinjer ch styrdkument samt resursfrågr. Det är en svaghet att det inte finns en sammanhållen ch beslutad infrmatinssäkerhetsplicy för kmmunen. Därutöver bör ansvarsfördelningen för säkerhetsrelaterade frågr mellan ITchef ch säkerhetschefen tydliggöras. Vi nterar att det inm kmmunen finns ett beredande rgan för kmmunstyrelsen avseende IT-relaterade frågr, det så kallade digitaliseringsnätverket. Det finns således en rganisatrisk länk mellan kmmunstyrelsen ch IT-verksamheten i kmmunen. Riskanalys Det är psitivt att det finns en risk- ch väsentlighetsanalys upprättad avseende infrmatinsch IT-säkerheten. Det saknas dck en utvärdering avseende mständigheter vilka är att beteckna sm krissituatiner. Det är vår bedömning att det inte i tillräcklig utsträckning finns kartlagt vilka verksamhetssystem sm kräver en högre grad av tillgänglighet. Att klassificera kmmunens system bedöms ckså sm nödvändigt ur ett GDPR-perspektiv, men då utifrån persnuppgifter. Kntrllåtgärder Kntrllaktiviteter är lika insatser sm genmförs för att minska riskerna i verksamheten ch bidra till en ökad intern kntrll av prcesserna. Utifrån mfattningen av vår kntrll är det vår bedömning att det inte finns helt tillfredsställande kntrllmment för IT- ch infrmatinssäkerhetsmiljön sm helhet. Det är återkmmande för kntrllåtgärderna att dessa i första hand mfattar de mest verksamhetskritiska systemen. Därefter minskar mfattningen av kntrllåtgärder allteftersm att systemen inte bedöms vara 17

18 lika kritiska. Trts att kntrllåtgärderna är av störst vikt för mer verksamhetskritiska system bör även kntrllåtgärder mfatta mindre verksamhetskritiska system. Det är därtill vår bedömning att det tydligare bör säkerställas att persndata inte skickas över öppna nät krypterat genm e-pst. Infrmatin ch kmmunikatin Inm mrådet infrmatin ch kmmunikatin bedömer vi kmmunens rutiner vara tillräckliga. Uppföljning ch utvärdering Det är vår bedömning att det inte finns kntinuitetsplaner i tillräcklig utsträckning. Det är inte tillräckligt att det endast finns för enstaka system. Därtill bör det tydliggöras ch dkumenteras vad den högst acceptabla tiden för infrmatinssystem att vara ur funktin är utan att det äventyrar verksamheten. Lahlm, den 19 december 2017 Linus Aldefrs Per Arvedsn 18

19 Bilaga 1 Intervjuade funktiner IT-chef Ove Bengtssn