IT-verksamheten - en uppföljning av tidigare granskning

Transkript

1 Revisionsrapport Quentin Authelet Joakim Hermansson IT-verksamheten - en uppföljning av tidigare granskning Region Gotland

2 IT-verksamheten - en uppföljning av tidigare granskning Carin Hultgren Uppdragsledare/projektledare Region Gotland

3 Innehållsförteckning Sammanfattning och bedömning 1. Inledning Revisionsfråga Metod och avgränsning Granskningsresultat Avsaknad av kontinuitetsplan för Hälso- och Sjukvårdsförvaltningen Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Avsaknad av en dokumenterad instruktion för hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PUL-området Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Avsaknad av dokumenterad riskanalys i samband med tilldelning av systembehörighet till TakeCare Systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior Behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte på avdelningsnivå Bristande dokumentation i form av policys och riktlinjer främst för behörighet och åtkomst i Procapita Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester... 7

4 Sammanfattning och bedömning På uppdrag av de förtroendevalda revisorerna i Region Gotland har genomfört en granskning av IT-verksamheten. Granskningen syftar till att bedöma om den interna kontrollen är tillräcklig avseende säkerhet och åtkomst av information. År 2013 utfördes en sådan granskning d.v.s. Regionstyrelsens interna kontroll vad gäller säkerhet och åtkomst till information i regionens system. Ett antal rekommendationer lämnades i samband med den utförda granskningen. Föreliggande granskning är en uppföljning av granskningen från Efter genomförd granskning är vår bedömning att Regionstyrelsens interna kontroll inte är helt tillräcklig vad gäller säkerhet och åtkomst till information i de granskade IT-systemen. Bedömningen bygger på att det fortfarande kvarstår ett antal brister som inte åtgärdats. Dessa är dock s.k. låg- och medelriskobservationer och värt att notera är att vi inte gjort några s.k. högriskobservationer. Nedan följer en sammanställning av våra mest väsentliga iakttagelser. 1. Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Avsaknad av en dokumenterad rollbeskrivning för PUL-ombud med tydligt definierat ansvarsområde och rapporteringsvägar kan innebära en risk för att verksamheten inte följer riktlinjer för PUL. Vidare är det av vikt att incidenter inom området kommuniceras till ledande personer inom verksamheten via tydliga rapporteringsvägar. 2. Avsaknad av en dokumenterad instruktion till hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PUL-området Avsaknad av en dokumenterad instruktion för hur medarbetare kontinuerligt utbildas inom PUL-området samt övervakning att instruktionen efterlevs, kan innebära en risk för att medarbetare inom Hälso- och Sjukvårdsförvaltningen inte följer regelverk för PUL-området i det dagliga arbetet. 3. Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som Region Gotland ställer Avsaknad av en rutin för aktiv övervakning av transaktioner/aktiviteter utförda av användarkonton som innehas av SSL-IT kan medföra en risk för att icke godkända aktiviteter som utförs i systemet inte upptäcks. Kompenserande faktor i samband med iakttagelsen är att systembehörig-heter kopplade till användarkonton inte medger åtkomst till konfidentiell information. Privilegierade användarkonton som delas av flera personer medför en risk för att det inte är möjligt att spåra en viss utförd systemaktivitet till en viss fysisk person. 4. Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Avsaknad av en rutin för periodvis granskning och godkännande av systembehörigheter kan medföra en risk för att obehöriga personer har tillgång till kritiska systemfunktioner och känslig data.

5 5. Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester Styrande dokument avseende kontinuitetshantering bör definiera mål för säkerhetskopiering och återläsning för väsentliga system, så som maximalt tolererbara driftavbrott (MTO), återläsningstid (RTO) och återläsningspunkt (RPO), baserad på klassificering. Att inte definiera återläsning av säkerhets-kopieringsmål och följa upp om dess efterlevnad kan medföra en risk för att en verksamhet exponeras för dataförlust. Detta kan få operativa konsekvenser på en verksamhet där verksamhetskritisk information permanent går förlorad.

6 1. Inledning Den offentliga sektorn blir likt den privata sektorn allt mer beroende av sina informationssystem. Nya tekniker utgör viktiga komponenter för fungerande och effektiva verksamhetsprocesser men introducerar även nya risker. Kommunikation med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom regionen som med externa intressenter. Detta ställer krav på ett balanserat risktagande och ett funktionellt säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig rätt information i rätt tid och för rätt personer. En ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk och funktionell plattform är en viktig förutsättning för en effektiv verksamhet. År 2013 utfördes en granskning avseende regionstyrelsens interna kontroll vad gäller säkerhet och åtkomst till information i regionens system. Ett antal rekommendationer lämnades till Region Gotland i samband med den utförda granskningen. Denna granskning inkluderar uppföljning på de tidigare rekommenderade åtgärderna Revisionsfråga Är regionstyrelsens interna kontroll tillräcklig vad gäller säkerhet och åtkomst till information i de granskade IT-systemen? Granskningsmål Granskningens syfte är att utvärdera om avvikelser identifierade 2013 är åtgärdade och att ursprungliga granskningsmål uppfylls. Följande avvikelser noterades 2013: Område Övergripande säkerhetsstyrning Övergripande säkerhetsstyrning Övergripande säkerhetsstyrning Behörigheter och åtkomst Behörigheter för och åtkomst Behörigheter och åtkomst Behörigheter och åtkomst Rekommendation Hälso- och Sjukvårdsförvaltningen bör ta fram en kontinuitetsplan för sin verksamhet. Rollen som PUL-ombud inom Hälso- och Sjukvårdsförvaltningen bör tydliggöras för den som innehar rollen. Medarbetarna inom Hälso- och Sjukvårdsförvaltningen bör informeras om vad PUL innebär och hur deras arbete påverkas. Systemförvaltarna bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer. Vi anser att förvaltarna för TakeCare bör säkerställa att regelbundna behörighets-kontroller utförs för systemet. Vi bedömer att en riskanalys för att bestämma behörighetsnivåer till TakeCare bör genomföras mer formellt än idag. Såväl risk- som behovsanalys bör dokumenteras. Vi anser att systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior. Region Gotland 1 av 7

7 Behörigheter och åtkomst Behörigheter och åtkomst Behörigheter och åtkomst Vi anser att behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte, som i dag, på avdelningsnivå. Vi anser även att behörigheter till Procapita bör beställas och dokumenteras i mer formell ordning än som idag, muntligen. Behörigheterna bör beställas elektroniskt eller manuellt med någon form av signering. Vi anser att rutiner för säkerhetskopiering och återläsningstest av information i TakeCare, Procapita och Treserva bör dokumenteras tydligare. Dokumentationen är i dagsläget antingen obefintlig eller ofullständig. Genom en uppföljning av den förra revisionsrapporten utgår granskningen med fokus på följande kriterier: System och applikationer uppfyller Region Gotlands säkerhetskrav och lagkrav, bland annat PUL Åtkomst till information följer gällande riktlinjer Hanteringen av behörigheter är tillfredsställande gällande de granskade förvaltningarna 1.2. Metod och avgränsning Granskningen innefattar en kartläggning av förändringar avseende system, applikationer och IT-miljö i jämförelse med Även insamling av styrdokument, så som policys, riktlinjer och instruktioner, har gjorts för att granskas och utgör underlag för bedömningen. Under granskningen har intervjuer hållits med nyckelpersoner inom Region Gotland med inriktning mot IT-organisationen samt personer inom Hälso- och Sjukvårdsförvaltningen. Intervjuer har genomförts med följande personer: Bo Magnusson, Administrativ utvecklingsdirektör Hans Lyttkens, IT-strateg Jan Broman, IT-strateg Olof Nysten, Utvecklingsledare E-hälsa & systemansvarig för Treserva Monica Pedersén, Enhetschef Mika Lathi, Socialförvaltningen Åsa Högberg, Ekonomidirektör Johan Kallum, Säkerhetschef Ledningskontoret Anders Granvald, Avdelningschef IT-Tele Gunnar Ramstedt, Chefläkare och IT-strateg HSF Susanne Yttergren, Systemförvaltare Opus Curt Andersson, Systemförvaltare Opus Region Gotland 2 av 7

8 2. Granskningsresultat Nedan följer en sammanställning avseende utförd granskning av tidigare rapporterade iakttagelser och/eller brister Avsaknad av kontinuitetsplan för Hälsooch Sjukvårdsförvaltningen Den utförda granskningen har påvisat att det finns dokumenterade riktlinjer för hur kontinuitetsplaner ska struktureras för enheter inom Hälso- och Sjukvårdsavdelningen. Det har genom intervju noterats att varje vårdenhet har manuella rutiner för när systemet TakeCare är ur drift, och en kontinuitetsplan kallad katastrofplan finns för TakeCare och har mottagits av revisionen. Det pågår ett arbete hos ledningskontoret med att upprätta regionsövergripande styrande dokument för kontinuitetsplanering. Revisionen har tagit del av dokumentation som visar att ledningssystemet för informationssäkerhet (LIS) innehåller rutiner, exempel och mallar för följande områden: informationsklassning, riskanalys, kontinuitetsplanering, IT-säkerhet samt säkerhetsarkitektur. En del av syftet med upprättandet av LIS är att få en strukturerad kravställning och uppföljning av informationssäkerhet samt en strukturerad IT-/säkerhetsarkitektur. En iakttagelse är att ingen verksamhetsarkitektroll är tilldelad och detta bör finnas enligt säkerhetschef på Ledningskontoret samt en IT-strateg. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Avsaknad av dokumenterad rollbeskrivning för PUL-ombud inom Hälso- och Sjukvårdsförvaltningen Iakttagelsen kvarstår, den utförda granskningen har påvisat att ansvarsområde i rollen som PUL-ombud inte är formellt dokumenterat i form av en rollbeskrivning. En rollbeskrivning bör innehålla ett tydligt definierat ansvarsområde med rapporteringsvägar till berörda intressenter inom Region Gotland. PUL-ombudet anser sig själv ha god kunskap om ansvarsområdet genom Datainspektionens beskrivning av rollen. Region Gotland upplyser tydligt om vem som innehar PUL-ombudsrollen samt hänvisar vidare till Datainspektionen för beskrivning av rollen via det lokala intranätet. Påverkan och rekommendation Avsaknad av en regionsspecifik rollbeskrivning för PUL-ombud med tydligt definierat ansvarsområde och rapporteringsvägar kan innebära en risk för att verksamheten inte följer PUL. Vidare är det av vikt att incidenter inom området kommuniceras till ledande personer inom verksamheten via tydliga rapporteringsvägar. Revisionen rekommenderar Region Gotland att ytterligare tydliggöra rollen som PULombud i form av en dokumenterad rollbeskrivning med tydligt definierat ansvarsområde och rapporteringsvägar. Region Gotland 3 av 7

9 2.3. Avsaknad av en dokumenterad instruktion för hur medarbetare inom Hälso- och Sjukvårdsförvaltningen utbildas inom PULområdet Den utförda granskningen har inte påvisat att det finns en dokumenterad instruktion för att löpande informera medarbetare om PUL-området. I nuläget hänvisas medarbetare till Datainspektionens policy via det lokala intranätet. Påverkan och rekommendation Avsaknad av en dokumenterad instruktion för hur medarbetare kontinuerligt utbildas inom PUL-området samt övervakning att instruktionen efterlevs kan innebära en risk för att medarbetare inom Hälso- och Sjukvårdsförvaltningen inte följer PUL i det dagliga arbetet. Revisionen rekommenderar PUL-ombudet att tydliggöra aktiviteter med syfte att kontinuerligt utbilda medarbetare om PUL. PUL-ombudet bör även vara ansvarig för instruktioner samt ansvara för att innehållet i instruktionerna efterlevs Systemförvaltarna för TakeCare bör försäkra sig om vilken behörighet SLL-IT har och om den är i enlighet med de krav som region Gotland ställer Den utförda granskningen har påvisat att SLL-IT innehar systembehörighet i TakeCare. Systembehörigheten medger ingen åtkomst till konfidentiell information eller åtkomst till funktioner för att utföra känsliga transaktioner. Användarkonton i systemet som innehas av SSL-IT delas av flera användare inom SSL-IT och är inte kopplade till en fysisk person. Slutligen finns det inga rutiner implementerade där systemägare aktivt övervakar aktiviteter utförda av användarkonton som innehas av SSL-IT. Påverkan och rekommendation Avsaknad av en rutin för aktiv övervakning av transaktioner/aktiviteter utförda av användarkonton som innehas av SSL-IT kan medföra en risk för att icke godkända aktiviteter utförs i systemet utan att dessa upptäcks. En kompenserande faktor i samband med iakttagelsen är att systembehörigheter kopplade till användarkonton inte medger åtkomst till konfidentiell information. Användarkonton som delas av flera personer medför en risk för att det inte är möjligt att spåra en viss utförd systemaktivitet till en viss fysisk person. Revisionen rekommenderar Region Gotland att implementera en rutin där systemägare identifierar kritiska användarkonton i TakeCare och löpande övervakar systemaktiviteter i form av loggövervakning för identifierade konton. Avvikelser ska rapporteras enligt vedertagen incidenthanteringsprocess. Slutligen rekommenderas att användarkonton för SSL-IT konfigureras ned på personnivå så att systemaktiviteter utförda av ett visst användarkonto är spårbara till en fysisk person. Region Gotland 4 av 7

10 2.5. Förvaltarna för TakeCare bör säkerställa att regelbundna behörighetskontroller utförs för systemet Den utförda granskningen har påvisat att det inte finns någon implementerad rutin för periodvis granskning och godkännande av systembehörigheter i TakeCare. En kompenserande faktor till iakttagelsen är att det finns en rutin implementerad i form av en loggkontroll, vilken syftar till att övervaka överträdelser enligt patientjournallagstiftningen. Granskningen har även identifierat att det pågår ett arbete med att identifiera förbättringsområden i behörighetsstrukturen utifrån ett risk- perspektiv. När analysen är utförd och dokumenterad ska rollstrukturen i TakeCare uppdateras enligt det framtagna regelverket. Det sker även en kompletterande åtgärd med att uppdatera behörighetslistorna, då det upptäcktes under granskningen att en hel del aktiva användare finns med trots att de borde ha avslutats. Påverkan och rekommendation Avsaknad av en rutin för periodvis granskning och godkännande av systembehörigheter kan medföra en risk för att obehöriga personer har tillgång till kritiska systemfunktioner och känslig data. Revisionen rekommenderar Region Gotland att implementera en rutin för periodvis granskning och godkännande av systembehörigheter i TakeCare. Rutinen syftar till att säkerställa att aktuella systembehörigheter i TakeCare stämmer överens med den anställdes roll i verksamheten. Granskningen bör utföras av systemägare eller motsvarande samt dokumenteras i form av ett bevis. När kontrollen har utförts rekommenderas det att avrapporteras till ledande person inom Region Gotland som är ansvarig för uppföljning, alternativt informationssäkerhet. Avvikelser i rapporteringen bör rapporteras som en incident för vidare uppföljning. Revisionen rekommenderar även systemansvariga till fortsatt arbete med borttagning av behörighetskonton då de ska vara avslutade Avsaknad av dokumenterad riskanalys i samband med tilldelning av systembehörighet till TakeCare Den utförda granskningen har påvisat att det finns en dokumenterad instruktion till hur riskanalys ska utföras i samband med tilldelning av systembehörigheter i TakeCare. Rutinen kommer att implementeras under Den dokumenterade instruktionen innehåller dock ingen information för hur den utförda riskanalysen ska dokumenteras samt hur övervakning av kontrollen ska utföras från systemägare eller annan ansvarig person. Påverkan och rekommendation Avsaknad av en utförd riskanalys i samband med tilldelning av systembehörigheter i TakeCare kan medföra att obehöriga personer får tillgång till konfidentiell information. Revisionen uppmuntrar HSF att slutföra arbetet med att upprätta en instruktion till hur riskanalys ska utföras i samband med tilldelning av systembehörighet i TakeCare. Den dokumenterade instruktionen bör tydliggöra hur den utförda analysen ska dokumenteras samt hur övervakning av kontrollen ska utföras. Avvikelser vid att inte utföra en riskanalys enligt den framtida instruktionen bör rapporteras som en incident för vidare uppföljning. Region Gotland 5 av 7

11 2.7. Systemförvaltarna för TakeCare bör skaffa sig tydligare information om SLL-IT:s rutiner för återläsning av säkerhetskopior Den utförda granskningen har påvisat att SLL-IT har dokumenterade rutiner och policys för säkerhetskopiering och återläsningstester. Dokumentationen har presenterats för IVO vid tidigare revision. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Behörigheter till Procapita bör tilldelas på individ- eller rollnivå och inte på avdelningsnivå Den utförda granskningen har påvisat att behörigheter i Procapita tilldelas på rollnivå baserat på den anställdes roll i organisationen. En övergripande granskning av olika roller i systemet har påvisat att en viss användare i en viss roll har tillgång till olika systemfunktioner. En övergripande granskning av processen för administration av behörigheter tydliggör även att behörighetstilldelning sker på rollnivå inom olika avdelningar inom organisationen. Processen startar med att den anställde får ett IT-konto, när det är klart sker en beställning till supporten. I Procapita sker först en rolltilldelning beroende på vilken avdelning personen ska arbeta på. Denna tilldelning styr vilka komponenter användaren kommer åt och blir en standardbehörighet för samtliga inom avdelningen. Därefter sker tilldelning av behörigheter, vilket sker i ett organisationshandläggarregister. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Bristande dokumentation i form av policys och riktlinjer främst för behörighet och åtkomst i Procapita Den utförda granskningen har påvisat att det finns en rutinbeskrivning samt tillhörande behörighetsblankett för ansökan om systembehörighet till Procapita. Tilldelning av systembehörigheter till Procapita ska ske genom blanketten och det visar vilken/vilka utförarområden den anställde ska ha tillgång till samt innehåller en textruta där utökad eller begränsad behörighet kan anges av beställaren. För att beställningen ska gå igenom finns det flera obligatoriska fält som inte kan lämnas tomma. Det är den anställdes närmsta chef som ska signera blanketten och detta kan göras digitalt genom att använda etjänstekort. Det noterades dock att beställning kan delegeras till assistent. Systemförvaltaren erhåller de ifyllda samt signerade blanketterna och skapar konton enligt beställningarna, sedan sker utskrift och lagring i pappersform. Blanketterna hamnar även i ett ärendehanteringssystem där de sparas för att möjliggöra elektronisk spårning. Det noterades att när ett konto är skapat för en användare måste den anställde utföra en utbildning i Procapita innan Region Gotland 6 av 7

12 användaruppgifter utdelas. Det utförs regelbundna loggkontroller i Procapita och riktlinjer för detta finns dokumenterade. Kontroll av behörighet att ta fram loggutdrag sker en gång i månaden då 15 slumpmässigt utvalda användare och deras användande, fördelat på tre dagar, kontrolleras. För inhyrd personal sker loggkontrollen en gång per vecka. Som andra regelbundna kontroller finns granskning av användande i CSN Online samt LEFI-online. Två gånger per år sker även kontroll av rätt användarbehörighet i Procapita. Påverkan Inga direkta iakttagelser har noterats i samband med den utförda granskningen av kontrollfrågan, tidigare rapporterad avvikelse bedöms som åtgärdad Uppföljning avseende dokumenterade rutiner för säkerhetskopiering och återläsningstester Den utförda granskningen har påvisat att det finns en policy samt rutinbeskrivning för backuphanering för Treserva samt Procapita. ITT ansvarar för säkerhetskopiering av produktionsdatabas för båda systemen, nuvarande rutiner för säkerhetskopiering inkluderar dock inte återläsningstester. Återläsningstester görs ändå informellt till en testmiljö i samband med att nya versioner av applikationerna lanseras eller på uppmaning av systemägare. Utfört återläsningstest dokumenteras inte. Det är Stockholms Läns Landsting (SLL-IT) som ansvarar för säkerhetskopiering samt återläsningstester av systemet TakeCare. Rutiner för säkerhetskopiering och återläsningstester gällande TakeCare är dokumenterade, se punkt 3.7 ovan för ytterligare detaljer. Påverkan och rekommendation Styrande dokument avseende kontinuitetshantering bör definiera mål för säkerhetskopiering och återläsning för väsentliga systemen, så som maximalt tolererbara driftavbrott (MTO), återläsningstid (RTO) och återläsningspunkt (RPO), baserad på klassificering. Att inte definiera återläsning av säkerhetskopieringsmål och följa upp om dess efterlevnad kan medföra en risk för att en verksamhet exponeras för dataförlust, vilket kan få operativa konsekvenser på en verksamhet där verksamhetskritisk information permanent går förlorad. Revisionen rekommenderar Ledningskontoret att ta fram en kontinuitetshanteringsprocess som definierar omfattning av säkerhetskopiering och återläsningstest, med syfte att säkerställa att verksamhetens krav i form av accepterad dataförlust efterlevs. Revisionen rekommenderar även Region Gotland att utvärdera behovet av en central rutin för övervakning av återläsning av säkerhetskopior. Bevis för återläsning av säkerhetskopior kan rapporteras till ansvarig person för IT- och informationssäkerhet inom Region Gotland. Avvikelser i rapporteringen bör rapporteras som en incident för vidare uppföljning. Region Gotland 7 av 7