Uppföljning av beslutade åtgärder gällande Alvis

Transkript

1 Arbetsmarknad och vuxenutbildning Tjänsteutlåtande Utfärdat Diarienummer 0346/16 Handläggare Peter Walton Telefon E-post: Uppföljning av beslutade åtgärder gällande Alvis Förslag till beslut Nämnden för Arbetsmarknad och vuxenutbildning beslutar att de åtgärder som beslutades om förklaras fullgjorda. Sammanfattning I 2015 års revisionsredogörelse lämnar Stadsrevisionen följande rekommendationer till NAV: Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att säkerställa att identifierade brister i verksamhetssystemet Alvis åtgärdas eller att kompenserande kontroller införs. Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att säkerställa framtagande och etablering av rutiner för uppföljning av informationssäkerhetsnivån. Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att säkerställa ett adekvat skydd av känsliga personuppgifter genom särskild god it-säkerhet. Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att etablera rutiner för uppföljning av leverantörens säkerhetsarbete enligt lag, avtal och riktlinjer. På nämndsmöte beslutade NAV att ge förvaltningschefen i uppdrag att återkomma med förslag på åtgärder med anledning av Stadsrevisionens kritik. På nämndsmöte beslutade NAV att vidta de åtgärder som förvaltningschefen föreslog enligt tjänsteutlåtande från (0346/16). Dessa åtgärder är nu genomförda och avrapporterade till NAV. Göteborgs Stad Arbetsmarknad och vuxenutbildning, tjänsteutlåtande 1(4)

2 Beslutad åtgärd Alla påvisade brister i Alvis skall följas upp. Åtgärder vidtas efter det att en samlad bedömning gjorts utifrån säkerhet, användarvänlighet, funktionalitet och ekonomi. Status - Den samlade bedömningen är gjord och med två undantag är samtliga brister åtgärdade. Orsaken till att dessa ej åtgärdats är i ett fall att funktionalitet / användarvänlighet skulle störas på ett oacceptabelt sätt och i det andra fallet att åtgärden skulle kräva en insats som inte motsvaras av nivån på risk. Beslutad åtgärd Rutiner för uppföljning av informationssäkerhetsnivån skall uppdateras och etableras. Status - Rutiner för såväl årligt säkerställande och uppföljning av informationssäkerhetsnivån som för risk- och sårbarhetsanalys är fastställda att gälla från och med I dessa rutiner ingår att leverantören ska redovisa hur denne uppfyller de krav på informationssäkerhet som ställs i personuppgiftsbiträdesavtalet. Beslutad åtgärd Ett adekvat skydd av känsliga personuppgifter kommer att säkerställas genom särskilt god IT-säkerhet. Status - Stark autentisering har införts fr o m maj 2016 genom att tvåfaktorsinloggning krävs. - Detta avser ej studerandekonton eftersom de inte ger tillgång till känsliga personuppgifter. Beslutad åtgärd Rutiner för uppföljning av leverantörens säkerhetsarbete skall etableras. Status - Förutom de åtgärder som beskrivs ovan skall en avtalsefterlevnadsgrupp upprättas inom Göteborgregionens kommunalförbunds Vuxenutbildningsnätverk. En projektgrupp har angivit ramarna för gruppens arbete och uppdraget skall nu Göteborgs Stad Arbetsmarknad och vuxenutbildning, tjänsteutlåtande 2(4)

3 Beslutad åtgärd specificeras tillsammans med en extern konsult. Målsättningen är att funktionen skall finnas på plats i början på För att säkerställa att rekommendationerna är omhändertagna kommer en ny revision av oberoende granskare att genomföras. Status - En ny revision har genomförts av EY (se bilaga). Huvudsyftet med den revisionen var att fastställa hur Arbvux omhändertagit rekommendationerna från Stadsrevisionen och slutsatsen i rapporten är att rekommendationerna i huvudsak är åtgärdade. EY har också gjort egna iakttagelser om brister, risker etc som förvaltningen kan och ska arbeta vidare med. Noteras skall också att EY rapporterat utifrån det läge som var vid revisionstidpunkten och att flera av de förbättringsåtgärder som identifierades redan är genomförda. Ekonomiska konsekvenser En ökad satsning på IT-säkerhet kan medföra ökade kostnader för personal och ny teknik. Barnperspektivet Ingen påverkan Jämställdhetsperspektivet Ingen påverkan Mångfaldsperspektivet Ingen påverkan Miljöperspektivet Ingen påverkan Omvärldsperspektivet Ingen påverkan Samverkan Samverkan har skett med de fackliga organisationerna Bilagor 1. Uppföljning av Stadsrevisionens granskning av Alvis genomförd av EY. Göteborgs Stad Arbetsmarknad och vuxenutbildning, tjänsteutlåtande 3(4)

4 Göteborgs Stad Arbetsmarknad och vuxenutbildning Jan Elftorp Förvaltningsschef Peter Walton Ekonomichef Göteborgs Stad Arbetsmarknad och vuxenutbildning, tjänsteutlåtande 4(4)

5 Uppföljning av Stadsrevisionens granskning av Alvis Nämnden för Arbetsmarknad och vuxenutbildning Göteborg,

6 Innehållsförteckning INNEHÅLLSFÖRTECKNING SAMMANFATTNING Bakgrund Slutsats BAKGRUND Inledning Syfte Metod GRUNDLÄGGANDE INFORMATION OM ALVIS GRANSKNING AV INFORMATIONSSÄKERHETEN Sårbarhetsanalyser Styrning av åtkomst Styrning av programändringar Personuppgiftsbehandling GENOMFÖRANDE AV INTRÅNGSFÖRSÖK STATUS PÅ STADSREVISIONENS IAKTTAGELSER... 10

7 1 Sammanfattning 1.1 Bakgrund Stadsrevisionen granskade informationssäkerheten i IT-systemet Alvis under Granskningen syftade till att bedöma den interna kontrollen i systemet Alvis samt systemets ändamålsenlighet. Syftet var vidare att bedöma om hanteringen av informationen i Alvis är förenlig med OSL (offentlighets- och sekretesslagen) och PUL (personuppgiftslagen) samt för granskningen relevanta riktlinjer för Göteborgs Stad. Granskningen utfördes genom intervjuer, dokumentstudier och intrångsförsök. Nämnden för arbetsmarknad och vuxenutbildning (NAV) har gett EY i uppdrag att följa upp och bedöma genomförda åtgärder avseende Stadsrevisionens rekommendationer. 1.2 Slutsats Av de fyra iakttagelser med tillhörande rekommendationer som gavs i Stadsrevisionens granskning bedöms en iakttagelse vara åtgärdad och tre iakttagelser vara delvis åtgärdade. # Iakttagelser Status 1. Avsaknad av rutiner för uppföljning av informationssäkerhetsnivå. Delvis åtgärdad Säkerhetsbrister i verksamhetssystemet som kan påverka integritet och konfidentialitet av personuppgifter och annan information. Känsliga personuppgifter är åtkomliga utan stark autentisering och behörigheten kan inte begränsas till utbildningsanordnare med faktiskt behov av åtkomst. Avsaknad av uppföljning gällande efterlevnad av avtal samt säkerhetsarbetet hos leverantören. Delvis åtgärdad Åtgärdad Delvis åtgärdad NAV har arbetat med Stadsrevisionens iakttagelser i ett projekt där målbild och handlingsplan upprättats, och även genomfört denna granskning för att följa upp informationssäkerheten (punkt 1). Vi har noterat att NAV tagit fram och etablerat rutiner för uppföljning av informationssäkerhetsnivån, men inte genomfört sårbarhetsanalys/er, vilket vi bedömer vara viktigt för att kontinuerligt identifiera nya risker med behandlingen av personuppgifter. Vi ser behov av tydligare uppföljning av informationssäkerheten där sårbarhetsanalys/er kontinuerligt genomförs/uppdateras för att säkerställa att risker hanteras. Utifrån genomfört intrångsförsök är vår bedömning att allvarliga brister har åtgärdats (punkt 2). Vi har inte heller identifierat några nya allvarliga brister i det genomförda intrångsförsöket. Vi bedömer att identifierade brister, klassificerade som medel risk, är svåra att utnyttja och kräver mycket arbete och/eller stor kunskap från den som försöker utnyttja bristerna. Vi rekommenderar alltjämt att dessa brister åtgärdas och vår bedömning är att de är relativt enkla att åtgärda. Stark autentisering har införts för anställda från och med maj 2016 och vidare har åtgärder vidtagits för att begränsa behörigheten för utbildningsanordnare (punkt 3). 1

8 En avtalsefterlevnadsgrupp/funktion skall upprättas som en del av Göteborgsregionens kommunalförbunds Vuxenutbildningsnätverk. Beslut om att bilda en avtalsefterlevnadsgrupp/funktion togs i maj 2016 och ett första möte inom en projektgrupp med uppdrag att formulera uppdraget för avtalsefterlevnadsgruppen/funktionen hölls i september Avtalsefterlevnadsgruppen/funktionen skall finnas på plats och ges i uppdrag att bevaka Göteborgsregionens och kommunernas intresse i förhållande till systemleverantören varför punkt 4 bedöms som delvis åtgärdad. Utifrån genomförd granskning rekommenderar vi vidare att följande åtgärder vidtas för att stärka informationssäkerheten: Styrning av åtkomst Etablering av styrande dokument för behörighetshantering. Upprättad blankett för att ansöka om tilldelning eller borttag av behörigheter bör alltid användas. Alvis bör konfigureras till alltid kräva lösenordsbyte vid användares första inloggning. Periodvis granskning av befintliga behörigheter i Alvis bör genomföras. Styrning av programändringar Versionsförändringar bör hanteras efter godkännande av NAV, för att säkerställa ändamålsenlig testning innan produktionssättning. Personuppgiftsbehandling Upprättande av instruktioner till användarna om vad som får skrivas i Alvis fritextfält. Avbrottsorsaker som berör sjukdom och graviditet/barnledighet bör tas bort från Alvis. Gallringsplan bör slutföras och beslutas för att säkerställa att Arbvux endast sparar uppgifter som verkligen behövs för verksamheten. Upprättande av instruktion som beskriver vilken information som skall delges elever som gör ansökan via fysiskt möte, och att befintligt dokument uppdateras och används för att informera om behandlingen av uppgifter. Motsvarande information bör göras tillgänglig vid webbansökan. Översyn av befintliga personuppgiftsbiträdesavtal och upprättande av personuppgiftsbiträdesavtal med skolor (utbildningsanordnare) för vilka det idag saknas. Instruktion beskrivande hur personuppgifter får behandlas bör också upprättas och delges skolor (utbildningssamordnare). 2

9 2 Bakgrund 2.1 Inledning Stadsrevisionen granskade informationssäkerheten i IT-systemet Alvis under Granskningen syftade till att bedöma den interna kontrollen i systemet Alvis samt systemets ändamålsenlighet. Syftet var vidare att bedöma om hanteringen av informationen i Alvis är förenlig med OSL (offentlighets- och sekretesslagen) och PUL (personuppgiftslagen) samt för granskningen relevanta riktlinjer för Göteborgs Stad. Granskningen utfördes genom intervjuer, dokumentstudier och intrångsförsök. Stadsrevisionens sammanfattande bedömning var att nämndens interna kontroll avseende informationssäkerhet och efterlevnad av gällande lagstiftning och kommunfullmäktiges riktlinjer för verksamhetssystemet Alvis var bristfällig. I granskningen lyftes följande fram som brister: Avsaknad av rutiner för uppföljning av informationssäkerhetsnivå. Säkerhetsbrister i verksamhetssystemet som kan påverka integritet och konfidentialitet av personuppgifter och annan information. Känsliga personuppgifter är åtkomliga utan stark autentisering och behörigheten kan inte begränsas till utbildningsanordnare med faktiskt behov av åtkomst. Avsaknad av uppföljning gällande efterlevnad av avtal samt säkerhetsarbetet hos leverantören. Nämnden för arbetsmarknad och vuxenutbildning (NAV) har gett EY i uppdrag att följa upp och bedöma genomförda åtgärder avseende Stadsrevisionens rekommendationer. 2.2 Syfte Granskningens syfte har varit att följa upp och bedöma om iakttagelserna från Stadsrevisionens granskning har åtgärdats. 2.3 Metod Med utgångspunkt i den tidigare genomförda granskningen har EY genomfört en uppföljning av Stadsrevisionens granskning av Alvis där informationssäkerhet har granskats och intrångsförsök har genomförts. Granskningen har genomförts i två steg: Granskning av informationssäkerheten Genom intervjuer, kontroll av dokumentation och stickprovstestning har vi bedömt informationssäkerheten och följt upp genomförda åtgärder avseende Stadsrevisionens rekommendationer. Genom intervjuer, kontroll av dokumentation och stickprovstestning har vi bedömt ändamålsenligheten i genomförda åtgärder och anledningar till varför eventuella åtgärder inte har genomförts. Genomförande av intrångsförsök Genom intrångsförsök har vi bedömt påtalade brister från Stadsrevisionen samt försökt att identifiera andra brister, i syfte att testa skyddet mot dataintrång i Alvis. Genom intrångsförsök har vi bedömt om effektiva upptäcks- och skyddsåtgärder finns på plats för Alvis. 3

10 3 Grundläggande information om Alvis Alvis Information Systemversion Alvis, version Huvudsakliga användningsområden Systemleverantör Webbaserat it-system för vuxenutbildning. I Alvis hanteras all dokumentation av studenters antagning, studiegång, omdömen/betyg samt studieplaner. Gotit. Driftleverantör Datalagringsort Antal användare Gotit. Servrarna är placerade i två olika datorhallar hos PIN. Cirka studentkonton och cirka 1200 konton som tillhör studie- och yrkesvägledning samt lärare vid skolorna och övrig behörig personal. Anskaffningsdatum Databasversion SQL server OS-version Windows Behörighetsväg Anpassningsgrad Antal ändringar/typer av ändringar per år Väsentliga incidenter/problem Åtkomst till systemet sker via en webbapplikation som är nåbar av både studenter och utbildningssamordnare via olika portaler. Studenter autentiseras genom användarnamn och lösenord, och har endast åtkomst till sina egna uppgifter. Utbildningssamordnare och administratörer kan logga in via olika lösningar som uppfyller kraven på stark autentisering: - SSO via inloggningen till stadens nätverk - Användarnamn och lösenord samt lösenord via SMS - E-legitimation (Bank ID) Standardsystem. 3-4 versioner och cirka 2 mindre uppdateringar mellan respektive version. Enstaka avbrott på grund av nätverksproblem, varav det längsta avbrottet på några timmar. 4

11 4 Granskning av informationssäkerheten Inom ramen för granskningen har vi genom intervjuer, kontroll av dokumentation och stickprovstestning bedömt följande områden: Klassificering av verksamhetssystem Organisation Sårbarhetsanalyser Styrning av åtkomst Spårbarhet Styrning av programändringar Drift samt kontinuitets- och avbrottsplanering Informationssäkerhet hos utomstående part Personuppgiftsbehandling Iakttagelser avseende granskade områden beskrivs i avsnitten nedan. 4.1 Sårbarhetsanalyser Sårbarhetsanalys/er har inte genomförts Informationsklassificeringar för Alvis uppdaterades sommaren Dock har NAV inte genomfört sårbarhetsanalys/er. Utan sårbarhetsanalys/er finns en risk att krav på konfidentialitet, riktighet och tillgänglighet, beskrivna i informationsklassificeringarna inte efterlevs. Vi rekommenderar att en process för att genomföra sårbarhetsanalyser etableras. Sårbarhetsanalyser bör fokusera på risker relaterade till bristfällig efterlevnad av krav på konfidentialitet, riktighet och tillgänglighet och även beskriva åtgärder för att hantera identifierade risker. 4.2 Styrning av åtkomst Styrande dokument avseende behörighetshantering Det saknas styrande dokument avseende behörighetshantering som beskriver regler för tilldelning, ändringar och borttag av behörigheter. Idag kan skolor (utbildningsanordnare) på egen hand inaktivera behörigheter, men ansvaret för att inaktivera behörigheter då anställda slutar eller byter tjänst är inte tydliggjort. Utan dokumenterade regler för behörighetshantering uppstår en risk att behörigheter till systemfunktioner eller information tilldelas till fel person, eller att behörigheter inte inaktiveras/tas bort då anställda slutar eller byter tjänst. Vi rekommenderar att styrande dokument avseende behörighetshantering i Alvis etableras som minst beskriver ansökan och godkännande av behörighet, förändring av behörighet till systemet, borttag av behörigheter, hur periodisk genomgång av behörigheter skall genomföras och hur ansvarsfördelning av kritiska arbetsmoment uppehålls där den individ som beviljar behörighet inte är samma individ som sätter upp behörighet. 5

12 Behörighetsansökan och godkännande Fåtalet individer inom NAV kan administrera åtkomsträttigheter i Alvis. NAV har genomfört förändringar i administrationen av åtkomsträttigheter sedan Stadsrevisionens granskning. Idag kan skolorna endast registrera personal, medan de tidigare även kunnat tilldela inloggning och behörigheter. Tilldelning av användarnamn och behörighetsgrupp hanteras numera av behörighetsadministratörer inom NAV. Då skolor inte längre kan administrera åtkomsträttigheter kan de inte längre ändra användarnamn och lösenord för behörighetsadministratörerna, vilket var en tidigare brist i administrationen av åtkomsträttigheter. Det finns en blankett upprättad för att ansöka om tilldelning eller borttag av behörigheter. Denna används dock inte alltid, utan viss behörighetsadministration hanteras efter kontakt via telefon eller e-post. Vi noterar också att blanketten inte beskriver vilken nivå av behörigheter som skall tilldelas. Det finns en därför risk att behörigheter till systemfunktioner eller information tilldelas till fel person. Vi rekommenderar att upprättad blankett för att ansöka om tilldelning eller borttag av behörigheter kompletteras med vilken nivå av behörigheter som skall tilldelas och att blanketten alltid används för att säkerställa spårbarhet i hanteringen. Nya lösenord Individer som tilldelas behörigheter behöver inte byta lösenord vid första inloggning i Alvis. Alvis kräver lösenordsbyte först efter 90 dagar. Det finns risk för obehörig åtkomst om tilldelat lösenord inte byts i samband med första inloggning. Vi rekommenderar att Alvis konfigureras att alltid kräva lösenordsbyte vid första inloggning. Periodisk granskning av åtkomsträttigheter genomförs inte Användarkonton låses automatiskt för användare som inte loggat in på 90 dagar och systemansvarig granskar senaste inloggningar årligen för att identifiera användarkonton som kan tas bort. Vid behov kan även specifika skolor, på uppmaning av systemansvarig, granska befintliga användare. Dock saknas rutin för periodisk granskning av åtkomsträttigheter där samtliga användare och dess åtkomsträttigheter granskas för att säkerställa att dessa fortsatt är korrekta. Det finns risk att individer som byter tjänst eller slutar fortsatt har kvar sina behörigheter i Alvis. Vi rekommenderar att en process för att periodvis, exempelvis årligen, granska befintliga behörigheter i Alvis etableras. Granskningen bör initieras av systemansvarig och genomföras av berörda chefer/skolor. 6

13 4.3 Styrning av programändringar Kort tid för testning av nya versioner Vid många versionsförändringar har NAV mindre än en vecka på sig att ta ställning till ny funktionalitet och att genomföra testning av ny version. Detta innebär en risk för att NAV inte hinner genomföra tillräcklig testning, inte hinner ta ställning till förändringarna och informera organisationen om dessa, och att göra de förändringar som behövs avseende behörigheter. Det innebär också en risk att felaktigheter och brister inte identifieras innan produktionssättning varför rättningar i högre utsträckning behöver hanteras mellan versionsförändringarna. Vi rekommenderar att versionsförändringar alltid hanteras efter godkännande av NAV, för att säkerställa att ändamålsenlig testning genomförts innan produktionssättning. 4.4 Personuppgiftsbehandling Instruktioner till användarna om vad som får skrivas i fritextfält saknas Det finns många fritextfält i Alvis och det saknas instruktioner till användarna om vad som får skrivas i dessa. Då personuppgifter behandlas i Alvis måste det finnas instruktioner till användarna om vad som får skrivas i fritextfälten. NAV har gjort vissa rensningar i fritextfält för anteckningar relaterade till exempelvis sjukfrånvaro, likaså berörs ofta detta i samband med utbildningar för systemet. Vi rekommenderar att instruktioner etableras till användarna om vad som får skrivas i fritextfälten. Instruktionerna bör exempelvis ange hur värderande omdömen ska formuleras och vilken information som inte får registreras. Avbrottsorsaker anges när närvaroregistrering görs i Alvis Närvaroregistrering görs i Alvis och hanteras av skolorna. Det finns möjlighet att registrera avbrottsorsaker såsom avbrott på grund av sjukdom eller avbrott på grund av graviditet/barnledighet. Avbrottsorsaker måste inte fyllas i, men vi noterar att det finns individer som idag har avbrottsorsaker registrerade som berör sjukdom eller graviditet/barnledighet. Utan samtycke får skolorna endast registrera att eleven haft frånvaro. Vi rekommenderar att avbrottsorsaker som berör sjukdom och graviditet/barnledighet tas bort från systemet alternativt endast kan anges som avbrottsorsak om samtycke redan har inhämtats. 7

14 Gallringsplan och gallringsrutiner saknas Det är viktigt att Arbvux endast sparar uppgifter som behövs för verksamheten. Idag görs ingen gallring av uppgifterna i Alvis. NAV har dock tagit fram en gallringsplan som ska arbetas om innan den kan beslutas. Det finns en risk att uppgifter som inte längre behövs för verksamheten finns sparade. Vi rekommenderar att en gallringsplan tas fram och beslutas för att säkerställa att Arbvux endast sparar uppgifter som verkligen behövs för verksamheten. Otydlig information till elever avseende behandlingen av personuppgifter Skolorna måste informera elever om hur deras personuppgifter behandlas i Alvis. Skolorna måste informera om vem som är ansvarig, vilka personuppgifter som samlas in, vad uppgifterna ska användas till samt att den registrerade har rätt att ansöka om information och begära rättelse av felaktiga uppgifter. I samband med webbansökan ges endast information om att personuppgifter behandlas i enlighet med personuppgiftslagen. Det är inte tydligt vilken information som ges till elever då de hanterar ansökan via fysiskt möte. Det finns ett dokument som benämns Information om behandling av uppgifter men det är oklart om detta används och dokumentet är vidare i behov av uppdatering och översättning till flera språk. Vi rekommenderar att en instruktion upprättas som beskriver vilken information som skall delges elever som gör ansökan via fysiskt möte, och att befintligt dokument uppdateras och används för att informera om behandlingen av uppgifter. Vi rekommenderar också att motsvarande information görs tillgänglig vid webbansökan. Personuppgiftsbiträdesavtal kan saknas för ett antal skolor (utbildningsanordnare) Personuppgiftsbiträdesavtal finns med systemleverantören. Det finns även personuppgiftsbiträdesavtal med flera skolor (utbildningsanordnare), dock finns det en risk att det saknas avtal med skolor på grund av exempelvis ägarbyte. Vi har också noterat att upprättade personuppgiftsbiträdesavtal med skolor beskriver att dessa endast får behandla personuppgifter för uppdragsgivarens räkning i enlighet med uppdragsgivarens instruktioner. Vi har inte kunnat ta del av några upprättade instruktioner. Vi rekommenderar att översyn görs av befintliga personuppgiftsbiträdesavtal och att avtal upprättas med skolor (utbildningsanordnare) för vilka sådana idag saknas. Personuppgiftsbiträdesavtalet bör beskriva hur personuppgifterna får behandlas. Det är också viktigt att instruktioner upprättas och delges skolor beskrivande hur personuppgifter får behandlas. 8

15 5 Genomförande av intrångsförsök EY har under perioden till genomfört intrångsförsök där skyddet mot dataintrång i Alvis testats. Påtalade brister från Stadsrevisionen har bedömts och utöver detta har försök att identifiera nya brister även genomförts. Genom intrångsförsök har EY bedömt om effektiva upptäcks- och skyddsåtgärder finns på plats för Alvis. Detaljer om intrångsförsöket finns beskrivet i separat rapport benämnd Penetration test of Alvis application. Nedan sammanställs status på de brister som Stadsrevisionen identifierade: Identifierade brister Status identifierade brister COG-1 Client-side validation bypass Brist har inte identifierats COG-2 Older versions detected Brist har inte identifierats COG-3 Vulnerable jquery libraries Brist kvarstår delvis, av EY bedömd som låg risk COG-4 Unrestricted file upload functionality Brist har inte identifierats COG-5 SSL weak cipher suites supported Brist har inte identifierats COG-6 Weak password policy Brist har inte identifierats COG-7 Session fixation attack Brist har inte identifierats COG-8 SSL version 2 is enabled Brist har inte identifierats COG-9 SSL v3 POODLE vulnerability Brist har inte identifierats COG-10 Inadequate input validation Brist kvarstår delvis, av EY bedömd som låg risk COG-11 Information disclosure through error pages Brist har inte identifierats COG-12 Missing secure flag from session cookie Brist har inte identifierats COG-13 Session cookie does not change after login Brist har inte identifierats COG-14 SSL RC4 cipher suites are supported Brist har inte identifierats COG-15 Clickjacking attack Brist har inte identifierats COG-16 SSL service vulnerable to FREAK Attack Brist har inte identifierats COG-17 Unencrypted _VIETSTATE parameter Brist har inte identifierats COG-18 Version disclosure in HTTP response Brist kvarstår, av EY bedömd som låg risk COG-19 Concurrent login possible Brist kvarstår, av EY bedömd som låg risk Utifrån genomfört intrångsförsök bedömer EY att allvarliga brister har åtgärdats. EY har inte heller identifierat några nya allvarliga brister i genomfört intrångsförsök. Nedan sammanställs resultatet av genomfört intrångsförsök: Kritisk risk inga brister identifierade Hög risk inga brister identifierade Medel risk 5 brister identifierade. 2 brister har enligt uppgift från Gotit åtgärdats och detta har styrkts med bevis. Dock har inte EY kunnat validera detta genom tester. En av dessa risker ligger utom NAV:s och Gotit:s kontroll. Låg risk 7 brister identifierade. 3 brister har enligt uppgift från Gotit åtgärdats och styrkts med bevis. Dock har inte EY kunnat validera detta genom tester. EY bedömer att identifierade brister, klassificerade som medel risk, är svåra att utnyttja och kräver mycket arbete och/eller stor kunskap från den som försöker utnyttja bristerna. EY bedömer även att bristerna med förhållandevis enkla medel kan elimineras. 9

16 6 Status på Stadsrevisionens iakttagelser Nedan följer iakttagelser och rekommendationer från Stadsrevisionens granskning samt en beskrivning av åtgärd och status på åtgärder. Status är definierat enligt följande: Åtgärdad Delvis åtgärdad Inte åtgärdad Iakttagelserna bedöms vara åtgärdade Iakttagelserna bedöms delvis vara åtgärdade Iakttagelserna bedöms inte vara åtgärdade # Iakttagelse, rekommendation och status Status 1. Stadsrevisionens iakttagelse: Avsaknad av rutiner för uppföljning av informationssäkerhetsnivå. Stadsrevisionens rekommendation: Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att säkerställa framtagande och etablering av rutiner för uppföljning av informationssäkerhetsnivån. Status oktober 2016: NAV har genomfört denna granskning för att följa upp informationssäkerheten. Vidare har NAV arbetat med Stadsrevisionens iakttagelser i ett projekt där målbild och handlingsplan upprättats. Vi har noterat att NAV inte genomfört sårbarhetsanalys/er, vilket vi upprättat separat rekommendation om i avsnitt fyra. Det är viktigt att genomföra sårbarhetsanalys/er för att kontinuerligt identifiera nya risker med behandlingen av personuppgifter. Vi ser behov av tydligare uppföljning av informationssäkerheten där sårbarhetsanalys/er kontinuerligt genomförs/uppdateras för att säkerställa att risker hanteras. Delvis åtgärdad 10

17 # Iakttagelse, rekommendation och status Status 2. Stadsrevisionens iakttagelse: Säkerhetsbrister i verksamhetssystemet som kan påverka integritet och konfidentialitet av personuppgifter och annan information. Stadsrevisionens rekommendation: Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att säkerställa att identifierade brister i verksamhetssystemet Alvis åtgärdas eller att kompenserande kontroller införs. Status oktober 2016: Utifrån genomfört intrångsförsök är vår bedömning att allvarliga brister har åtgärdats. Vi har inte heller identifierat några nya allvarliga brister efter genomfört intrångsförsök. Nedan sammanställs resultatet av genomfört intrångsförsök: Kritisk risk inga brister identifierade Hög risk inga brister identifierade Medel risk 5 brister identifierade Låg risk 7 brister identifierade Vi bedömer att identifierade brister, klassificerade som medel risk, är svåra att utnyttja och kräver mycket arbete och/eller stor kunskap från den som försöker utnyttja bristerna. Vi rekommenderar alltjämt att dessa brister åtgärdas och vår bedömning är att de med förhållandevis enkla medel kan elimineras. Vi noterar att NAV och Gotit har haft en nära dialog om identifierade brister från Stadsrevisionens intrångsförsök där Gotit i ett särskilt protokoll redogjort för planerade och genomförda åtgärder, samt gjort en egen bedömning av riskerna med anledning av identifierade brister. Bland åtgärderna som vidtagits ses exempelvis ett serverbyte i januari 2016 som hade direkt påverkan på flera brister. Delvis åtgärdad # Iakttagelse, rekommendation, och status Status 3. Stadsrevisionens iakttagelse: Känsliga personuppgifter är åtkomliga utan stark autentisering och behörigheten kan inte begränsas till utbildningsanordnare med faktiskt behov av åtkomst. Stadsrevisionens rekommendation: Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att säkerställa ett adekvat skydd av känsliga personuppgifter genom särskilt god ITsäkerhet. Status oktober 2016: Stark autentisering har införts för anställda från och med maj Telefonnummer som används för SMS-inloggning kan endast ändras av behörighetsadministratörer. Vidare har behörigheterna setts över och lärare kan nu endast söka på elever utanför sin skola, och ta de av uppgifter om berörd individ, om de har tillgång till elevens fullständiga personnummer. Administratörer hos utbildningsanordnare och anställda inom NAV kan alltjämt skapa kompletta listor från filgeneratorn utifrån angivna attribut, vilket de bedöms behöva för att kunna utföra sina arbetsuppgifter. Åtgärdad 11

18 # Iakttagelse, rekommendation och status Status 4. Stadsrevisionens iakttagelse: Avsaknad av uppföljning gällande efterlevnad av avtal samt säkerhetsarbetet hos leverantören. Stadsrevisionens rekommendation: Stadsrevisionen rekommenderar nämnden för arbetsmarknad och vuxenutbildning att etablera rutiner för uppföljning av leverantörens säkerhetsarbete enligt lag, avtal och riktlinjer. Status oktober 2016: En avtalsefterlevnadsgrupp/funktion skall upprättas som en del av Göteborgsregionens kommunalförbunds Vuxenutbildningsnätverk. Beslut om att bilda en avtalsefterlevnadsgrupp/funktion togs i maj 2016 och ett första möte inom en projektgrupp med uppdrag att formulera uppdraget för avtalsefterlevnadsgruppen/funktionen hölls i september Avtalsefterlevnadsgruppen/funktionen skall finnas på plats och ges i uppdrag att bevaka Göteborgsregionens och kommunernas intresse i förhållande till systemleverantören. Vi noterar också att viss uppföljning av personuppgiftsbiträdesavtalet gjorts genom att systemleverantören i maj 2016 skriftligen fick besvara ett antal frågor från NAV. Vidare har NAV genomfört denna granskning, som inkluderat ett nytt intrångsförsök där skyddet mot dataintrång i Alvis testats, för att följa upp säkerhetsarbetet hos leverantören. Delvis åtgärdad 12

19 13