Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet Anders Pålhed

Transkript

1 Revisionsrapport Granskning av IT-säkerhet Nerikes Brandkår Anders Pålhed

2 1. Sammanfattning Inledning Syfte Metod Avgränsning IT-säkerhetens olika delar Uppdraget från Direktionen och styrdokument Den löpande IT-processen Administrativ säkerhet Fysisk säkerhet Logisk säkerhet Uppföljning, utvärdering och återrapportering till Direktionen Slutsats och rekommendationer (11)

3 1. Sammanfattning I revisionsplaneringen för år 2010 har revisionen bedömt att IT-säkerhet är ett område med högre risk och väsentlighet. Revisionen i Nerikes Brandkår har därför givit Ernst & Young i uppdrag att granska om Nerikes Brandkår har etablerade och tillräckliga rutiner för att säkerställa en säker IT-miljö. Granskningen har genomförts i form av genomgång av befintliga och aktuella styrdokument samt intervjuer med IT-ansvarige Ulf Smedberg, Nerikes Brandkår och IT-chef Andreas Ericsson, Nora kommun. Då granskningen endast avser att belysa ITsäkerheten på en övergripande nivå har ingen detaljerad testning gjorts av rutinerna. Granskningen avser aktuella förhållanden efter antagen Informationssäkerhetspolicy ( ) samt efter out-sourcing av IT-frågor till Nora kommuns IT-avdelning. Ingen granskning sker av rutiner mm hos Nora kommun utan begränsas till dokumentation i avtalsförhållandet mellan Nerikes Brandkår och Nora. Sammantaget bedömer vi att Nerikes Brandkår har en fulltäckande och bra Informationssäkerhetspolicy. Denna ger förutsättningarna för en god IT-säkerhet förutom god säkerhet även för övrig information. Genom samarbetsavtalet med Nora kommuns IT-avdelning har en del förbättringsprojekt genomförts vilket förbättrat ITsäkerhetsnivån hos Nerikes Brandkår. IT-säkerhetsnivån är godtagbar avseende fysisk och logisk säkerhet. Dock finns det enligt vår bedömning fortfarande områden som behöver förbättras. Det gäller t.ex. uppföljning och utvärderingsfrågor samt återrapportering till Direktionen. I detta sammanhang behöver man först och främst fastställa vad som ska mätas, följas upp och återrapporteras. 2. Inledning I revisionsplaneringen för år 2010 har revisionen bedömt att IT-säkerhet är ett område med högre risk och väsentlighet. Revisionen i Nerikes Brandkår har därför givit Ernst & Young i uppdrag att granska om Nerikes Brandkår har etablerade och tillräckliga rutiner för att säkerställa en säker IT-miljö. Nerikes Brandkår hanterar information och upprätthåller administration mm till stor del med hjälp av IT-system. Trots att man inte är direkt beroende av dessa system för att kunna klara av sitt löpande uppdrag är det av stor vikt att IT-systemen kan säkerställas och att information i dessa system är tillförlitlig och inte möjliga att manipulera eller tillgodogöras via extern åtkomst. 3(11)

4 3. Syfte Revisorerna skall bl.a. pröva om väsentliga förvaltningsfrågor hanteras på ett tillfredsställande sätt inom Nerikes Brandkår. Som underlag för dessa prövningar ligger revisionsplanen där de väsentliga riskerna definierats. Denna granskningsrapport utgör underlag för revisorernas bedömning av en av de väsentliga revisionsfrågor som identifierats i planeringen. Syftet är att på en övergripande nivå beskriva om Nerikes Brandkår har tillräckliga och tillfredsställande riktlinjer och fungerande rutiner för hantering av IT-säkerhet så att hanteringen kan sägas vara ändamålsenlig. Följande revisionsfrågor har särskilt belysts: Vilka riktlinjer finns? Vilka rutiner och bemanning finns för hantering av dessa frågor? Hur är riktlinjerna implementerade? Följs utfall upp på ett strukturerat sätt? Är IT-systemet dokumenterat? Är fysiska och övriga åtkomstskydd tillräckliga? Innehåller avtalsförhållandet med Nora Kommun IT-säkerhetsfrågor? Finns rutiner för backup, lagring och återläsning av denna samt har detta testats? 3.1 Metod Granskningen har genomförts i form av genomgång av befintliga och aktuella styrdokument samt intervjuer med IT-ansvarige Ulf Smedberg, Nerikes Brandkår och IT-chef Andreas Ericsson, Nora kommun. Då granskningen endast avser att belysa ITsäkerheten på en övergripande nivå har ingen detaljerad testning gjorts av rutinerna. 3.2 Avgränsning Granskningen avser aktuella förhållanden efter antagen Informationssäkerhetspolicy ( ) samt efter out-sourcing av IT-frågor till Nora kommuns IT-avdelning. Ingen granskning sker av rutiner mm hos Nora kommun utan begränsas till dokumentation i avtalsförhållandet mellan Nerikes Brandkår och Nora. 4(11)

5 4. IT-säkerhetens olika delar I den efterföljande beskrivningen har vi valt att dela upp IT-processen i tre delmoment; - Uppdraget från Direktionen och styrdokument - Den löpande IT-processen - Uppföljning, utvärdering och återrapportering till Direktionen 4.1 Uppdraget från Direktionen och styrdokument Direktionen har fattat beslut om en s.k. Informationssäkerhetspolicy på mötet den Den årsvisa inriktningen och omfattningen avseende IT-frågor beslutas av Direktionen via den ordinarie budgeten. Direktionen har också fattat beslut om att teckna avtal med Nora kommun avseende IT-support. Avtalet är undertecknat av parterna respektive Enligt muntlig uppgift från Ulf Smedberg har IT-avdelningen inom Örebro kommun också tillfrågats om man kan vara behjälplig med IT-support men har avstått detta. Vi noterar inga övriga styrdokument. Informationssäkerhetspolicyn har utarbetats internt inom Nerikes Brandkår men baseras också på policys beslutad inom Örebro kommun den Informationssäkerhetspolicyn omfattar inte enbart IT-relaterade frågor utan avser all hantering av information. Den är omfattande och detaljerad och innehåller policyinriktning avseende ansvar, behörighet (administrativ säkerhet), fysisk säkerhet, systemsäkerhet vid kommunikation (logisk säkerhet), e-posthantering, loggning, uppföljning/intern kontroll. Vår bedömning är att Direktionen har satt tillräckligt höga krav på IT-säkerheten och att policyn därmed är tillfredsställande. Avtalet med Nora kommuns IT-avdelning omfattar support till användare samt driftstöd för server och backup. Åtagandet anges avse; - support via Internet av mellan parterna överenskommen programvara - utbildning av IT-samordnare hos Nerikes Brandkår (en på varje heltidsstation) - dokumentation av pågående och utförda ärenden Mera detaljerat anges vilken service som utlovas i form av tider och hur felanmälan ska ske. Här anges även att mera omfattande frågor eller frågor som kräver utredning, t.ex. utveckling och projekt, görs efter särskild beställning som separat uppdrag. I bilaga 1 till avtalet anges att Nora kommuns IT-avdelning garanterar en tillgänglighet på 380 tekniker timmar per år. I bilaga två till avtalet anges gällande prislista för löpande support samt för strategisk support och projektledare. Priserna baseras på Nora kommuns driftbudget och justeras årligen. Avtalet gäller för tiden till men om inte avtalet sägs upp senast tre månader före avtalets utgång förlängs det med ett år i sänder. 5(11)

6 Vår bedömning är att avtalet med Nora kommun är relativt enkelt skrivet med övergripande avtalsförhållanden samt detaljerade parametrar för den löpande ITsupporten. Det finns dock relativt öppna möjligheter för utvidgning av innehållet av tjänster med nya definierade projekt. Det finns inga angivna garantier eller beskrivningar av krav på IT-säkerhetsnivån hos Nora kommun, inte heller någon referens till den gällande Informationspolicyn fastställd för Nerikes Brandkår. Enligt muntliga uppgifter från Andreas Ericsson ställer IT-avdelningen hos Nora kommun krav på ett eget ansvar från systemägarna för respektive IT-system hos Nerikes Brandkår vilket också borde kunna framgå av avtalet, dvs. ansvarsfördelningen mellan parterna borde anges mera detaljerat. 4.2 Den löpande IT-processen Administrativ säkerhet Enligt Informationspolicyn anges att det yttersta ansvaret innehas av Direktionen som fastställt vilka säkerhetskrav som ska gälla för verksamheten genom fastställandet av den övergripande policyn. Alla medarbetare inom Nerikes Brandkår ska känna till att de också har ett ansvar för informationssäkerheten och för att uppsatta regler och anvisningar följs. Enligt policyn åligger det varje verksamhetsansvarig att ge sina medarbetare utbildning och information så att en god informationssäkerhet uppnås. En förenklad version av Informationssäkerhetspolicyn finns sammanställd och kan hittas på Nerikes Brandkårs intranet. Om en befattning medför att man får tillgång till större mängder information som kan vara känslig i olika grad ska en lämplighetsprovning ske. Innan man får tillgång till något IT-system som kan innehålla uppgifter belagda med sekretess ska en tystnadsoch sekretessförbindelse undertecknas. Före undertecknandet ska alltid information och utbildning ges. Enligt policyn bör alla användare av IT-systemen få en grundläggande utbildning avseende informationssäkerhetskraven. Här bör ges information om de viktiga delarna i riktlinjerna för informationssäkerheten, vilken aktuell lagstiftning eller andra föreskrifter som är tillämpliga samt specifikt vilka säkerhetsåtgärder som nyttjas inom Nerikes Brandkår. Enligt uppgift från Ulf Smedberg genomförs ingen formell utbildning i informationssäkertsfrågor. Därmed har heller ingen uppföljning och utvärdering gjorts av kunskapsnivån hos personalen. Vi rekommenderar att detta införs i uppföljningen av informationssäkerheten. Dessutom bör en formell bekräftelse lämnas av den anställde att denne har tillgodogjort sig infomationssäkerhetspolicyns innehåll. Bekräftelsen kan inkluderas i tystnads- och sekretessförbindelsen eller lösas genom en systembaserad bekräftelse som också loggas. 6(11)

7 En fullständig dokumentation över IT-systemens innehåll, uppbyggnad och eventuella samband med andra delsystem bör finnas. I denna bör framgå vilka programversioner som används, eventuella egna anpassningar av standardsystem, hårdvaruversioner, hur infrastrukturen internt och externt ser ut m.m. information. Enligt Andreas Ericsson pågår arbetet med att ta fram en s.k. IT-plan för Nerikes Brandkår. Då denna inte är färdigställd för tillfället kan vi inte bedöma om den är tillräcklig eller om annan informationen skulle behövas över IT-systemens uppbyggnad. Det har uttalats att det från Nerikes Brandkårs sida är viktigt att IT-systemen är fristående så att inget specifikt beroende uppkommer av närheten till Nora kommuns IT-avdelning. Det ska vara möjligt att relativt enkelt kunna flytta drift mm endera till egen regi eller till annan extern part. Därvid är det av stor vikt att systemen är tillräckligt detaljerat dokumenterade. Därutöver skapar man också förutsättningarna för att support m.m. av IT-systemen inte blir personberoende. Vi rekommenderar därför att den pågående ITplanen sammanställs så detaljerat att alla ovan beskrivna delar finns med i den slutliga planen. Programuppdatering sker inte i någon större omfattning hos Nerikes Brandkår, inte heller är de särskilt komplicerade. Man har inte regelmässigt tillämpat testning av nya versioner i separat testmiljö. Istället tas en backup innan uppdateringen genomförs och om något skulle gå fel kan backupen återläsas för återgång till den version som fanns dessförinnan. Vi rekommenderar dock att, när det är möjligt, utföra tester i fristående miljö för att kunna kontrollera att den nya versionen fungerar som avsett och att eventuella tidigare gjorda egna anpassningar fortfarande fungerar. På detta sätt sparar man mycket tid och onödigt krångel i skarp miljö vilket skulle kunna störa den ordinarie verksamheten Fysisk säkerhet Fysisk säkerhet omfattar skalskydd, tillträdesskydd, stöldskydd, driftmiljön med reservel, kyla, vätske- och brandskydd, Dessutom finns datautrustning utanför de egna lokalerna som fysiskt bör skyddas. Skalskyddet är bra då servrar som finns hos Nerikes Brandkår i Örebro förvaras i säkert och låst utrymme. E-post hanteras numera i server hos Nora kommun. ITutrustning finns också på stationerna i Byrsta och Lindesberg samt i form av bärbara datorer. Tillträdesskyddet för servrar är gott genom att lokalerna är låsta när de inte är personellt bemannade. Serverrummet säkerställer också driftsäkerhet med kraftreserver samt i övrigt bra driftmiljö. Övervakning av driften sker via Nora kommuns IT-avdelning. Accessen till serverrummet i Örebro är begränsad då även SOS Alarm nyttjar samma lokaler. Vi har noterat vissa möjligheter till intrång via stundtals öppna dörrar i fordonshallen. Man kan ta sig in i andra lokaler den vägen. Dock kan man därigenom inte kommat åt servrarna utan enbart arbetsstationer. Tillgängligheten begränsas dock av att personalen låser dörrar och avdelningar när dessa inte är personellt bemannade. Brister i fysisk säkerhet noteras också avseende lokala arbetsdatorer och bärbara datorer där stöldskyddet inte är fullständigt. 7(11)

8 Vi rekommenderar att dessa fysiskt låses fast för att minimera risken för åtminstone tillfälliga oplanerade stöldförsök. Kommunikation sker till och från Nora kommuns IT-system t.ex. vid övervakning och backuptagning. För detta ändamål har man en egen kommunikationsförbindelse samt har egen brandvägg varför säkerheten i detta avseende är bra. Internetaccess sker via Örebro kommuns server. För anslutning av bärbara datorer till de egna IT-systemen använder man sig av s.k. säkra VPN-tunnlar. Även här bedömer vi att man har den rimliga och godkända säkerhetsnivå som finns tillgänglig idag Logisk säkerhet Virusskydd finns på alla datorer. Detta uppdateras med automatik via central distribution. Säkerhetskopiering sker av centrala servrar men inte av arbetsdatorer. Dock ska data inte förvaras på arbetsdatorer mer än vad som t.ex. krävs för dagens aktuella arbete (bärbara datorer vid arbeten utanför stationen). Den primära backupen tas dagligen av Nerikes Brandkår själva och sparas under två veckor. Det är den tidshorisont som bedöms vara aktuell att ha möjlighet att återskapa. I samband med att samarbetet med Nora kommuns IT-avdelning har inletts har även en månatlig backup initierats vilken lagras hos Nora kommun i deras normala backuprutin. Backupen kommuniceras via den egna kommunikationsvägen och är därmed säker. Endast heltidspersonal får access till IT-systemen men det finns också viss gruppinloggning för annan personal, t.ex. till Nerikes Brandkårs intranet för att de t.ex. ska kunna hitta aktuell information bl.a. om Informationssäkerhetspolicyn. Behörighetsnivåer till respektive IT-system tilldelas alltefter behov. Regler för hur password ska vara utformade och bytas finns reglerat i policyn. Dessa krav utgörs av antal tecken, vilka tecken som krävs samt att de ska bytas var 90:e dag. Fram till årsskiftet 2010/2011 har detta inte följt policyns krav men nya principer har införts från 2011 varför man nu uppfyller policyns krav. Loggning sker av alla data och händelser som systemen kan logga för att ha möjligheten att kunna följa upp och utvärdera både för felsökning och avseende användningen i förhållande till reglerna i policyn. Dock finns det inte fastställt vad som ska kontrolleras eller hur ofta samt inte heller vad som är en avvikelse i detta sammanhang och därmed borde följas upp och återrapporteras. 8(11)

9 4.3 Uppföljning, utvärdering och återrapportering till Direktionen Den fastställda Informationspolicyn innehålller krav på loggning av data och händelser. Uppföljning av loggade data görs dock inte regelbundet för närvarande. Det har heller inte fastställts om eller vilka uppföljningar som ska göras av loggar. För att kontrollera att backupfunktionen fungerar som den ska utifall det värsta skulle inträffa och befintliga hårdvara och data skulle bli förstörda bör en fullskalig testning ske. I en sådan test säkerställs att ny maskinutrustning med återlästa backupdata fungerar som avsett. Någon sådan fullständig test har inte genomförts. Återläsning av enskilda data till befintliga maskinutrustning har dock gjorts och visat sig fungera. Dock bedömer inte Ulf Smedberg att den normala verksamheten skulle bli akut påverkad på ett negativt sätt vid ett bortfall av IT-system.. På kort sikt skulle planering av inplanerade kontrollbesök och bemanningsplanering inte finnas tillgängligt men detta skulle relativt snabbt kunna lösas manuellt..man gjorde relativt stora kontroller inför millenieskiftet varför man har relativt god beredskap bedömer Ulf Smedberg. Ulf Smedberg upprättade en egen förteckning över aktuell status efter Informationspolicyns införande. Det har dock inte skett någon officiell uppföljning och återrapportering av status avseende Informaionspolicyns införandestatus till Direktionen. Internkontrollkravet som enligt Informationssäkerhetspolicyn först och främst åvilar brandchefen har därmed inte uppfyllts. Vi rekommenderar därför att det fastställs mera detaljerade riktlinjer för vad som ska följas upp avseende loggad information och hur ofta det ska ske samt också vilken återrapportering som ska ske av uppföljningen. Därutöver bör internkontrollmomenten enligt Informationspolicyn planeras och utföras samt återrapporteras till Direktionen i likhet med övriga internkontrolluppföljningar. 5. Slutsats och rekommendationer Sammantaget bedömer vi att Nerikes Brandkår har en fulltäckande och bra Informationssäkerhetspolicy. Denna ger förutsättningarna för en god IT-säkerhet förutom god säkerhet även för övrig information. Genom samarbetsavtalet med Nora kommuns IT-avdelning har en del förbättringsprojekt genomförts vilket förbättrat ITsäkerhetsnivån hos Nerikes Brandkår. IT-säkerhetsnivån är godtagbar avseende fysisk och logisk säkerhet. Dock finns det enligt vår bedömning fortfarande områden som behöver förbättras. Det gäller t.ex. uppföljning och utvärderingsfrågor samt återrapportering till Direktionen. I detta sammanhang behöver man först och främst fastställa vad som ska mätas, följas upp och återrapporteras. Vi kan i detta sammanhang också ge förslag på några förbättringsområden. 9(11)

10 De revisionsfrågor vi särskilt avsåg att besvara var följande: Vilka riktlinjer finns? Direktionen har fastställt en Informationssäkerhetspolicy som är fulltäckande. Dock behöver också mera detaljerade anvisningar tas fram för att fastställa vad som ska följas upp och särskilt utväderas samt återrapporteras. Vilka rutiner och bemanning finns för hantering av dessa frågor? IT-ansvarig hos Nerikes Brandkår är Ulf Smedberg. Alla verksamhetsansvariga är skyldiga att tillse att deras personal har tillräcklig kunskap om gällande riktlinjer och regler. Genom supportavtalet med Nora kommuns IT-avdelning har man hjälp med den dagliga hanteringen och även möjlighet att få med drifts- och utvecklingfrågor i allmänhet. Nora kommun har i avtalet garanterat ett antal tillgängliga supporttimmar. Hur är riktlinjerna implementerade? Verksamhetsansvariga är ansvariga för att all personal har nödvändig kunskap om riktlinjerna. Utbildning ska ges för detta ändamål. Dock sker ingen regelmässig utbildning i dagsläget. Det sker heller ingen uppföljande kontroll avseende vilken kunskap som finns i organisationen. I övrigt har en del åtgärder gjorts i syfte att komma upp i den säkerhetsnivå som riktlinjerna beskriver. Vi bedömer att det fortfarande finns ytterligare saker att förbättra innan man kan sägas följa Informationssäkerhetspolicyn fullt ut. Följs utfall upp på ett strukturerat sätt? Enligt vår bedömning sker ingen regelmässig uppföjning. Man har inte heller fastsällt vad som ska utvärderas och hur ofta. Mätning, utvärdering och återrapportering kan förbättras. Är IT-systemet dokumenterat? Arbete pågår med att dokumentera IT-systemet i en s.k. IT-plan. All hårdvara finns dock dokumenterad. Hur bra denna plan kommer att vara kan inte utvärderas i dagsläget. Är fysiska och övriga åtkomstskydd tillräckliga? Vi bedömer att all servermiljö är tillräckligt fysiskt skyddad. Även den logiska skyddsmiljön är tillräcklig. Dock bör en förbättring kunna ske av stöldskyddet för arbetsdatorer inkl. bärbara datorer. Innehåller avtalsförhållandet med Nora Kommun IT-säkerhetsfrågor? Avtalet med Nora kommun är tämligen enkelt formulerat. Det innehåller inga anvisningar eller krav på IT-säkerhetsnivån hos Nora kommun. Enligt muntlig uppgift från Andreas Ericsson har man hos Nora kommun den, enligt dagens standard, godtagbara säkerhetsnivån men detta borde ha dokumenterats i avtalet. 10(11)

11 Finns rutiner för backup, lagring och återläsning av denna samt har detta testats? Numera finns rutiner för egen daglig backup som sparas i två veckor samt månadsvis backup till Nora kommuns ordinarie bvackuprutin. De egna backuperna förvaras säkert och de månadsvisa lagras enligt Nora kommuns ITsäkerhetsstandard som uppges vara tillräcklig. Återläsning av tappad eller skada data har gjorts avseende enstaka filer men fullskalig katastroftestning har inte gjorts genom att testa återläsning av hela system på en helt separat dator. Dock har man hos Nerikes Brandkår utvärderat riskerna med databortfall för den ordinarie verksamheten men inte bedömt att det är av avgörande betydelse för att kunna fullfölja sitt uppdrag. Våra rekommendationer till förbättringar är följande: - Vid tecknande av avtal om IT-support bör det finnas mera detaljerade beskrivningar av krav på IT-säkerhetsnivån hos Nora kommun samt eventuellt referens till den gällande Informationspolicyn fastställd för Nerikes Brandkår. Även andra parametrar i samarbetet bör nedtecknas i avtalet och inte som nu ske på muntlig basis. - Utbildning ska ges avseende gällande riktlinjer men har inte getts regelmässigt. Kunskapsnivån hos personalen avseende reglerna i Informationssäkerhetspolicyn har dock inte testats. Vi rekommenderar därför att detta införs i uppföljningen av informationssäkerheten. Dessutom bör en formell bekräftelse lämnas av den anställde att denne har tillgodogjort sig infomationssäkerhetspolicyns innehåll. Bekräftelsen kan inkluderas i tystnads- och sekretessförbindelsen eller lösas genom en systembaserad bekräftelse som också loggas. - Vid uppdatering av programversioner sker normalt ingen utvärdering i separat testmiljö. Vi rekommenderar att, när det är möjligt, utföra tester i fristående miljö för att kunna kontrollera att den nya versionen fungerar som avsett och att eventuella tidigare gjorda egna anpassningar fortfarande fungerar. På detta sätt sparar man mycket tid och onödigt krångel i skarp miljö vilket skulle kunna störa den ordinarie verksamheten. - Fysisk säkerhet för att förhindra stöld av arbetsdatorer och bärbara datorer saknas i dagsläget. Vi rekommenderar att dessa fysiskt låses fast för att minimera risken för åtminstone tillfälliga oplanerade stöldförsök. - Vi rekommenderar att det fastställs mera detaljerade riktlinjer för vad som ska följas upp avseende loggad information och hur ofta det ska ske samt också vilken återrapportering som ska ske av uppföljningen. Därutöver bör internkontrollmomenten enligt Informationspolicyn planeras och utföras samt återrapporteras till Direktionen i likhet med övriga internkontrolluppföljningar. 11(11)