Revisionen överlämnar bifogad rapport för yttrande senast 31 augusti 2019.

Transkript

1 Kmmunrevisinen Järfälla kmmun Kmmunstyrelsen För kännedm: Kmmunfullmäktiges presidium På vårt uppdrag har KPMG granskat ändamålsenligheten i kmmunens arbete med IT-säkerhet. Granskningen har ingått i revisinsplanen för Efter genmförd granskning lämnar vi följande rekmmendatiner till kmmunstyrelsen: Upprätta en IT-strategi Förslagsvis bör denna avgränsas utifrån rganisatinens ch ledningens behv. Viktigt kan vara att invlvera nyckelpersner, sm har förståelse för visinen, tidigt i denna prcess. Vidare kan det vara viktigt att betänka hur strategin ska implementeras, samt hur uppföljning ska ske. Löpande bör denna ckså granskas för att se huruvida den är aktuell, implementerad ch leder till ett ptimalt IT-stöd. Regelbundet utnyttja sin rätt enligt avtal att genmföra revisin av att leverantören uppfyller sina åtaganden ch skyldigheter för leverans av applikatins- ch systemdrift. - Frtsätta arbetet med upprättande av användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. Säkerställa att inte gruppbehörigheter till lika verksamhetssystem riskerar att leda till t ex tillåten hantering av persnkänslig infrmatin. I hanteringen av lösenrd öka minimikraven för antal tecken, specialtecken ch versaler etc. Frtsätta arbetet med behörigheter, specifikt kpplat till att revidera nuvarande behörigheter till Raindance, bland annat så att t ex belppsmässiga begränsningar i attesträtt återspeglas även i Raindance att rutinmässigt kntrllera att samtliga användare är aktuella Frtsätta arbetet med upprättande av samlingsplan för eknmisystemet Raindance. Upprätta kntinuitetsplan för drift av Raindance. Revisinen överlämnar bifgad rapprt för yttrande senast 31 augusti Järfälla den 19 mars 2019 För Järfälla å rnmuns revisrer Lars Marksted Olf Tillander Sida 1 av 1

2 Granskning av ITsäkerhet Rapprt KPMG AB Antal sidr 9 Antal bilagr KPMG AB, a Swedish limited liability cmpany and a member firm f the KPMG netwrk f independent member firms affiliated with KPMG Internatinal Cperative ( KPMG Internatinal ), a Swiss entity. All rights reserved.

3 Innehållsförteckning 1 Sammanfattning 2 2 Inledning/bakgrund Syfte, revisinsfråga ch avgränsning Revisinskriterier Metd Prjektrganisatin 5 3 Resultat av granskningen Genmgång av granskning IT-miljön generellt IT-säkerhet Åtkmst till system ch infrmatin Systemförändringar ch -utveckling Drift Raindance Slutsats ch rekmmendatiner 8 Järfälla Granskningsrapprt IT-säkerhet 2018.dcx i Dcument classificatin KPMG Public

4 1 Sammanfattning Vi har av Järfälla kmmuns revisrer fått i uppdrag att granska hur kmmunens ITfunktin uppfyller sitt uppdrag. Syftet med granskningen har varit att bedöma m IT-funktinens rganisatin ch arbetssätt ar ändamålsenlig utifrån uppdrag ch förväntningar på leverans av tjänster ch varr. Det har genmförts ett flertal utredningar avseende kmmunens IT-funktin under de senaste åren. Sammantaget har de visat på att det finns stra brister inm mrådet. Några verkningsfulla åtgärder för att hantera ch avhjälpa bristerna har dck inte vidtagits. Därför har ett strt förändringsarbete inletts sedan De brister sm tidigare utredningar identifierat har funnits under flera år. Det kan därför betraktas sm anmärkningsvärt att verkningsfulla åtgärder inte vidtagits tidigare. Sammanfattningsvis kan vi knstatera att kmmunens rutiner för hanteringen av den generella IT-miljön är gd. Plicydkument för de mest relevanta delarna av ITverksamheten är upprättade eller håller på att upprättas. Då stra delar av ITfunktinerna är utsurcade är risken för kunskapstapp eller annan berendeställning på individnivå lägre. upplevs vara i slutet av en pågående förbättringsfas. Mt bakgrund av vår granskning rekmmenderar vi kmmunen att: - Upprätta en IT-strategi Förslagsvis bör denna avgränsas utifrån rganisatinens ch ledningens behv. Viktigt kan vara att invlvera nyckelpersner, sm har förståelse för visinen, tidigt i denna prcess. Vidare kan det vara viktigt att betänka hur strategin ska implementeras, samt hur uppföljning ska ske. Löpande bör denna ckså granskas för att se huruvida den är aktuell, implementerad ch leder till ett ptimalt IT-stöd. - Regelbundet utnyttja sin rätt enligt avtal att genmföra revisin av att leverantören uppfyller sina åtaganden ch skyldigheter för leverans av applikatins- ch systemdrift. - Frtsätta arbetet med upprättande av användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. - Säkerställa att inte gruppbehörigheter till lika verksamhetssystem riskerar att leda till t ex tillåten hantering av persnkänslig infrmatin. - I hanteringen av lösenrd öka minimikraven för antal tecken, specialtecken ch versaler etc. - Frtsätta arbetet med behörigheter, specifikt kpplat till att revidera nuvarande behörigheter till Raindance, bland annat så att t ex belppsmässiga begränsningar i attesträtt återspeglas även i Raindance att rutinmässigt kntrllera att samtliga användare är aktuella Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 2

5 - Frtsätta arbetet med upprättande av samlingsplan för eknmisystemet Raindance. - Upprätta kntinuitetsplan för drift av Raindance. 2 Inledning/bakgrund KPMG har av Järfälla kmmuns revisrer fått i uppdrag att granska kmmunens prcesser kring IT-säkerhet. Uppdraget ingår i revisinsplanen för år Under 2017 har revisrerna genmfört en granskning av IT-funktinen i kmmunen. Granskningen knstaterade en hel del brister ch ett pågående förbättringsarbete. Den senaste tiden har framkmmit att många kmmuner har brister rörande hantering av säkerhetskänslig infrmatin, särskilt när delar av IT-funktinen utsurcas. Den senaste tiden har även framkmmit att många kmmuner utsatts för virusattacker ch utpressning. Den 25 maj 2018 trädde en ny lag i kraft, Allmänna dataskyddsförrdningen, förkrtad GDPR efter EU-benämningen General Data Prtectin Regulatin. Lagen kmmer i Sverige att ersätta Persnuppgiftslagen, förkrtad PUL. Kmmuner väljer i dag att i många fall överlåta driften av system ch verksamheter till andra. En av de största utmaningarna med detta är att säkerställa att säkerhetskänslig infrmatin regleras ch hanteras på ett krrekt sätt, för att på så sätt skydda enskilda, verksamheten ch även rikets säkerhet. Ett antal incidenter har den senaste tiden inträffat, vilka kan ha medfört risker för att säkerhetskänslig infrmatin kan ha spridits, men incidenterna har ckså inneburit stra förtrenderisker för de sm har berörts. Järfälla kmmuns revisrer har bedömt bland annat utifrån van nämnda händelser att mrådet IT-säkerhet är av vikt att granska för att säkerställa att kmmunens prcesser minimerar riskerna för skada rörande verksamheter, eknmi, individer, lagbrtt eller förtrende. Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 3

6 2.1 Syfte, revisinsfråga ch avgränsning Granskningen har syftat till att knstatera m kmmunen har prcesser, rutiner ch erfrderlig kntrll över IT-säkerheten. Granskningen har bland annat avsett att besvara följande revisinsfrågr: - Finns ändamålsenliga interna styrdkument på mrådet? - Genmförs löpande en övergripande säkerhetsanalys där kmmunens skyddsvärda infrmatin, befattningar, lkaler, anläggningar, system ch rutiner identifieras? - Sker säkerhetsklassning av funktiner ch tjänster? - Görs säkerhetsanalyser inför upphandlingar ch utsurcing? - Skrivs säkerhetsskyddsavtal vid behv? - Kntrlleras ch följs säkerhetsskyddskrav upp? - Är säkerhetsskyddsarbetet integrerat i verksamheternas rdinarie prcesser? 2.2 Revisinskriterier 2.3 Metd - Hur säkerställs att endast behörig persnal har åtkmst till intranätet ch krrekta behörigheter i Raindance m fl system? Vi har bedömt m rutinerna uppfyller: - Kmmunallagen 6 kap 6 - Tillämpbara interna regelverk, plicyer ch beslut - Säkerhetsskyddslagen - Säkerhetsskyddsförrdningen - Allmänna dataskyddsförrdningen, GDPR - Lag m kmmunal bkföring ch redvisning Granskningen har genmförts genm dkumentstudier ch intervjuer/avstämningar med systemansvarig för Raindance, IT-chef ch IT-säkerhetsansvarig i följande steg: - Inhämtande av prcess- ch rutinbeskrivningar - Inhämtande av relevanta styrdkument - Identifiering av eventuellt utsurcade system/verksamheter - Granskning av avtal rörande utsurcing Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 4

7 - Intervjuer - Analyser - Rapprtskrivning - Faktakntrll av rapprt 2.4 Prjektrganisatin Granskningen har genmförts under ledning av B Ädel, auktriserad revisr ch certifierad kmmunal yrkesrevisr ch även kundansvarig för KPMGs biträde till de förtrendevalda revisrerna i Järfälla kmmun. 3 Resultat av granskningen 3.1 Genmgång av granskning IT-miljön generellt Kmmunen hade vid granskningstillfället inte upprättat en IT-strategi, med mtiveringen att andra frågr har pririterats. På längre sikt är det en fördel att knkret ch kntinuerligt sammanställa hur IT-funktinen ska uppnå sina mål. Effekten av att inte ha en uttalad IT-strategi kan bli ineffektivitet, tydlighet kring rllfördelning, avsaknad av relevanta plicys, krtsiktiga investeringar i infrastruktur eller att avtal med viktiga leverantörer inte är uppdaterade/saknas helt. Via Järfälla kmmuns förvaltningsmdell kallad PM3 sker kmmunikatin mellan ITfunktinen ch verksamheterna. I detta system anmäls de lika behv verksamheterna har ch IT-funktinen besvarar i sin tur via PM3 hur dessa ärenden hanteras. I PM3 finns även ansvarsbeskrivningar för IT-verksamheten, vilka KPMG har inhämtat ch bedömt ändamålsenliga. Denna visar på ett tydligt sätt hur ansvarsmrådena är uppdelade mellan verksamheten ch IT. KPMG har även mttagit en sammanställning över samtliga persner med Adminknt, samt vilka behörigheter dessa användare har till de lika applikatinerna ch prgramvarrna. Kmmunen bedöms begränsa behörigheter till varje individs funktin inm rganisatinen på ett ändamålsenligt sätt IT-säkerhet Kmmunen har en Infrmatinssäkerhetsplicy på plats ch samtliga IT-användare har infrmerats m dess innehåll. Ansvarig för tillhandahållandet av denna är kmmunens IT-chef, sm har delegerat ansvaret för infrmatinssäkerheten till kmmunens ITsäkerhetsansvarig. Då utsurcar denna del av IT-verksamheten, bygger plicyn i strt på de krav kmmunen ställer på leverantören Tiet Sweden AB för att uppfylla sina mål kring IT-säkerhet. Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 5

8 För närvarande finns det ej en användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. Detta är dck under utveckling tillsammans med HR-avdelning ch jurister. För att skydda kmmunens servrar, närverk ch datrer finns virusskydd ch brandväggar vilka uppdateras autmatiskt ch regelbundet mt skadlig kd. Den fysiska åtkmsten till serverrum begränsas genm lås ch skydd mt temperatur, fukt ch strömavbrtt. Leverantören Tiet Sweden AB står för applikatins- ch systemdrift sedan Enligt detta avtal har kmmunen rätt att genmföra årlig revisin av att leverantören uppfyller sina åtaganden ch förpliktelser. Sådan revisin har ännu inte genmförts Åtkmst till system ch infrmatin För att säkerställa behörig åtkmst till kmmunens nätverk finns individuella kntn ch lösenrd i generella IT-miljön. Ytterligare säkerställande att persnlig åtkmst upprätthålls genm att frmell knfigurering av lösenrd till varje närverksknt krävs. Bytesfrekvensen är på 90 dagar ch kräver minst 5 tecken, där lösenrdhistrik förhindrar återanvändande av tidigare lösenrd. Här finns ptential till att utöka kmplexiteten genm ökat minimumkrav på antal tecken, kräva specialtecken, siffrr, versaler etc. På så vis försvåras möjlighet till behörig åtkmst både från externa ch interna ht. När det kmmer till behörigheter ute i lika verksamheter finns vissa gruppkntn för hantering av infrmatin. Dessa är ej direkt kpplade till affärssystemet eller den finansiella infrmatinen hs kmmunen ch bör därmed inte utgöra ett strt prblem för framställandet av de finansiella rapprterna. Däremt kan risk finnas för lämplig hantering av persnkänslig infrmatin Systemförändringar ch -utveckling Drift Generellt sker inga förändringar av systemparametrar, registerdata eller styrdata utan att detta finns definierat i en prjektplan, fta sm en del av en större prjektutveckling. Inför att dessa förändringar sjösätts finns alltid test- ch prduktinsmiljö separerade. Avseende inköp av mjuk-/hårdvara, knsulttjänster ch liknande sker beställningar alltid via IT-avdelningen, medan avtal finns för supprt från IT-leverantören till Raindance. Avtal har även skrivits med CGI för supprt med förvaltningsarbetet. Utöver de implementerade system sm används för det löpande arbetet ch upprättande av finansiella rapprter, arbetar kmmunen inte med egna applikatiner, såsm exempelvis Excel, vilka är av väsentlig betydelse för verksamheten. Drift av applikatiner ch system är utsurcat till Tiet Sweden AB. Avtal tecknades Avtalet innehåller bestämmelser m leverantörens åtaganden ch skyldigheter inklusive infrmatinssäkerhet ch skadeståndsansvar. Kmmunen är persnuppgiftsansvarig ch Tiet persnuppgiftsbiträde. Kmmunen instruerar Tiet m hur persnuppifter ska behandlas. Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 6

9 3.1.6 Raindance Kmmunen har en upprättad beskrivning av sitt affärssystem Raindance på plats. Beskrivningen innehåller en systemskiss för prduktinen ch dess kmmunikatin med fysiska/virtuella servrar. Vidare framgår även hur systemets dagliga drift hanteras, såsm tillgång till lggfiler för felhantering/-analys, batchjb-hantering, övervakning av Windws-tjänster kpplade till Raindance. Utöver detta innehåller beskrivningen även backuphantering av data, databaser, filsystem ch transaktinslggar. Slutligen beskrivs även hur start, stängning ch återställning (restre) av Raindance bör hanteras. Från ch med 2019 gäller lag (2018:597) m kmmunal bkföring ch redvisning, LKBR. Lagen ersätter den tidigare gällande lag (1997:614) m kmmunal redvisning, KRL. Av nya LKBR framgår i 3 kap 11 : Varje kmmun ch landsting ska upprätta 1. sådana beskrivningar över bkföringssystemets rganisatin ch uppbyggnad sm behövs för att ge överblick över systemet (systemdkumentatin), ch 2. sådana beskrivningar över genmförda bearbetningar inm systemet sm gör det möjligt att utan svårighet följa ch förstå behandlingen av de enskilda bkföringspsterna (behandlingshistrik). Mtsvarande bestämmelser fanns i KRL, 2 kap 7. Järfälla kmmun har en samlingsplan för Raindance per Sedan det under 2018 har skett ett kdplansbyte pågår ett arbete med en uppdaterad versin för 2018 sm vid denna rapprts avlämnande inte färdigställts. Rådet för Kmmunal Redvisning, RKR, har i rekmmendatin RKR 23 Bestämmelser m löpande bkföring etc förtydligat lagens krav rörande bland annat systemdkumentatin ch behandlingshistrik. Sidrna ch rör dessa mråden. Vi rekmmenderar att kmmunen gör en genmgång av systemdkumentatinen utifrån dessa krav ch inkluderande de verksamhetssystem m m sm genererar transaktiner i Raindance. För Raindance finns upprättade avtal mellan kmmunen ch IT-användaren, där individen bekräftar att man har läst ch accepterar avtalets bestämmelser. För affärssystemet Raindance finns rutiner på plats för nytilldelning, ändring ch brttagning av användarkntn till kmmunens nätverk. Skriftliga gdkännanden/ändringsblankett av behörig persnal krävs när behörigheter läggs upp/ändras, samt att avslutsblankett bör lämnas in till IT-avdelning av behörig persnal vid avslutad anställning. Däremt finns ingen fastställd rutin sm regelbundet kntrllerar samtliga användares kntn ch behörigheter, någt sm är önskvärt då man inm rganisatinen har identifierat brister på mrådet. För att mtverka detta påbörjades i fjl ett arbete med att se över behörigheter i Raindance (vilket frtfarande pågår) ch förvaltningsledaren för Raindance för en dialg med IT-avdelningen kring hur avslutningsrutinen kan förbättras framöver. I Raindance är man för närvarande i prjektfasen av att införa en ny Leverantörsreskntraprtal, levererad från CGI Sverige AB. Implementatinen av denna utveckling Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 7

10 förväntas innebära tydligare rller i systemet, tydligare elektrniska flöden, införande av belppsgränser, samt elektrnisk attest vid leverantörsupplägg ch utbetalningar. I detta prjekt är ansvaret uppdelat i prjektgrupp, -medlemmar, -ledare ch testgrupp. Alla beslut ch väsentliga händelser kring utvecklingens lika faser dkumenteras löpande av prjektledaren. Järfälla kmmun har för närvarande inte någn kntinuitetsplan upprättad när det kmmer till affärssystemet Raindance, någt sm skulle kunna vara önskvärt vid förutsedda händelser för att garantera frtsatt drift. Gällande incident- ch prblemhantering finns sm van nämnts avtalad supprt med leverantör. Daglig backup ff-site skser av Raindance under nattetid, vilket säkerställer att finansiell infrmatin inte går förlrad. För att säkerställa behörig åtkmst till kmmunens nätverk finns individuella kntn ch lösenrd i både Raindance ch den generella IT-miljön. 3.2 Slutsats ch rekmmendatiner Sammanfattningsvis bedömer vi att kmmunens rutiner för hantering av den generella IT-miljön är ändamålsenlig. Plicydkument för de mest relevanta delarna av ITverksamheten är upprättade eller håller på att upprättas. Då stra delar av ITfunktinerna är utsurcade är risken för kunskapstapp eller annan berendeställning på individnivå lägre. upplevs vara i slutet av en pågående förbättringsfas. Mt bakgrund av vår granskning rekmmenderar vi kmmunen att: - Upprätta en IT-strategi Förslagsvis bör denna avgränsas utifrån rganisatinens ch ledningens behv. Viktigt kan vara att invlvera nyckelpersner, sm har förståelse för visinen, tidigt i denna prcess. Vidare kan det vara viktigt att betänka hur strategin ska implementeras, samt hur uppföljning ska ske. Löpande bör denna ckså granskas för att se huruvida den är aktuell, implementerad ch leder till ett ptimalt IT-stöd. - Regelbundet utnyttja sin rätt enligt avtal att genmföra revisin av att leverantören uppfyller sina åtaganden ch skyldigheter för leverans av applikatins- ch systemdrift. - Frtsätta arbetet med upprättande av användarinstruktin sm infrmerar m kmmunens regler vid användning av dess datrer, infrmatin, mail etc. - Säkerställa att inte gruppbehörigheter till lika verksamhetssystem riskerar att leda till t ex tillåten hantering av persnkänslig infrmatin. - I hanteringen av lösenrd öka minimikraven för antal tecken, specialtecken ch versaler etc. - Frtsätta arbetet med behörigheter, specifikt kpplat till att revidera nuvarande behörigheter till Raindance, bland annat så att t ex belppsmässiga begränsningar i attesträtt återspeglas även i Raindance att rutinmässigt kntrllera att samtliga användare är aktuella Järfälla Granskningsrapprt IT-säkerhet 2018.dcx 8

11