Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Transkript

1 ÅSTORPS KOMMUN GRANSKNING AV IT-SÄKERHET 2000 Bengt Sebring Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

2 Innehållsförteckning Sammanfattning Inledning Syfte med revisionen Metod och avgränsningar Nuläge Iakttagelser och förslag till åtgärder Styrning av informationssäkerheten Rutiner beträffande personal Rutiner för åtkomstkontroll Drift Systemutveckling- och förvaltning Kommunikation Fysiskt skydd Avbrottsplanering Rättsliga krav Revision och kontroll Källor.. 10 GRANSKNINGSRAPPORT 3 Sida: 2

3 Sammanfattning Syftet med uppdraget är att kartlägga befintliga kontroller för informationssäkerhet hos Åstorps kommun. Kartläggningens omfattning och inriktning definieras närmare i avsnitt 2. Verifiering av erhållen information har inte genomförts, men vår avsikt är att gå vidare och verifiera hantering av IT-säkerhet inom kommun. Den sammanfattande bedömningen avseende granskningen är det finns stora brister i IT-säkerheten inom kommunen. Bristerna omfattar främst den fysiska säkerheten för centralt placerad utrustning, att det saknas formella riktlinjer och styrmedel för att kunna uppfylla de krav som ställs enligt den etablerade svenska standarden för IT-säkerhet SS (Ledningssystem för informationssäkerhet) samt att någon avbrottsplanering inte har upprättats. Samtliga ovanstående områden är nödvändiga för att kunna upprätthålla IT-säkerhet och säkerhets-medvetande på en hög nivå. Vår granskning har visat att det finns starka sidor i kommunens IT-funktion, där vi främst kan nämna att en IT-grupp är etablerad med ansvar för prioritering av IT-projekt och allokering av IT-resurser. Vidare finns det även informella rutiner för att upprätthålla den dagliga driften av IT-stöd till verksamheten. Vi vill särskilt betona följande kontrollområden där mycket stora brister har identifierats: Fysiskt skydd: Säkerheten för det befintliga datarummet måste omgående förstärkas, för att kunna uppfylla de mest grundläggande säkerhetskrav som är aktuella för IT-stödet. Styrning av informationssäkerhet: En uppdaterad IT-strategi och informationssäkerhetspolicy saknas. Detta innebär risk för otillräcklig styrning och ledning av informationssäkerhet inom organisationen. Det är nödvändigt att Åstorps kommun etablerar en process för hantering av informationssäkerhet. Initialt måste den befintliga IT-strategin och den övergripande informationssäkerhetspolicyn uppdateras enligt aktuella förutsättningar. Vidare måste även underliggande riktlinjer tas fram. Avbrottsplanering: Avbrottsplan med tillhörande reservrutiner saknas. Detta medför risk för allvarliga skador ur informationssäkerhetssynpunkt. De riskanalyser som gjorts det senaste året bör uppdateras och ligga till underlag för utvecklingen av en avbrottsplan för hela eller delar av verksamheten. Rutiner beträffande personal: Informationssäkerhetskrav som ställs på personalen är otillräckligt tydligt definierade. Detta innebär en låg säkerhetsmedvetenhet hos personalen som kan leda till ökade risker för bristande informationssäkerhet. Kommunen måste fortsätta att utveckla befintliga rutiner för hantering och rapportering av incidenter samt utbildning av personal för att höja säkerhetsmedvetandet. GRANSKNINGSRAPPORT 3 Sida: 3

4 1. Inledning På uppdrag av kommunrevisionen, inom ramen för 2000 års revisionsplan, granskas IT-säkerheten i Åstorps Kommun Syfte med revisionen Ernst & Young har inom ramen för revisionen genomfört en nulägesanalys av informationssäkerheten under perioden Uppdragets syfte har varit att kartlägga, analysera och bedöma de befintliga kontrollerna för informationssäkerhet hos Åstorps kommun. Uppdraget skall resultera i en sammanfattande rapport där konkreta förslag till åtgärder kommer att ges beträffande kontroller där mycket stora eller stora brister konstaterats. Uppdraget omfattar följande kontrollområden: Styrning av informationssäkerhet Rutiner beträffande personal Rutiner för åtkomstkontroll Drift Systemutveckling- och förvaltning Kommunikation Fysiskt skydd Avbrottsplanering Rättsliga krav Revision och kontroll 1.2. Metod och avgränsningar Kartläggningen har genomförts i form av en nulägesanalys med hjälp av SBA-Check metoden. SBAmetoden, sårbarhetsanalys framtagen av dataföreningen Sverige, vilken baserar sig på den svenska standarden (SS ) för informationssäkerhet. Ovanstående kontrollområden med tillhörande frågor besvarades och nyckelpersonal intervjuades interaktivt. Genomgångna kontroller där mycket stora eller stora brister funnits samt bedömning och förslag till åtgärder framgår i avsnittet Iakttagelser och förslag till åtgärder. Verifiering av erhållen information har inte genomförts. Följande personal har intervjuats hos Åstorps Kommun: Anita Bengtsson IT-samordnare Ulrika Håkansson IFO förvaltningen Klas Jörgensen IT-tekniker GRANSKNINGSRAPPORT 3 Sida: 4

5 2. Nuläge IT-stödet hanteras på kommunkontoret av två heltidstjänster, där Anita Bengtsson är ADBsamordnare och Klas Jörgensen är IT-tekniker. Inom kommunen finns det ca 450 persondatorer och ca 25 dataservrar. Som nätverksprogramvara används Novell Netware. Flertalet system är installerade på server i kommunens datarum, men det förekommer att enstaka system är utlagda på entreprenad. Till nätverket har är även datorer på exempelvis skolor, daghem och vårdhem anslutits, vilka är sammankopplade via kabel, fiberoptik och radiolänk. På några av dessa enheter finns det även servrar placerade i egna datarum. Någon större utbyggnad av nätverket och antalet datorer är inte aktuell för närvarande 3. Iakttagelser och förslag till åtgärder 3.1 Styrning av informationssäkerhet Det saknas en uppdaterad och aktuell IT-strategi samt IT-säkerhetspolicy. De versioner som är tillgängliga idag är från 1996 och är i sin tur ej kommunicerade till användarna av kommunens ITsystem. Generella riktlinjer för informationsklassificering har inte upprättas. När det gäller känsliga uppgifter som bedöms vara sekretessbelagda, hanteras detta enligt riktlinjer på respektive förvaltning. Nedanstående förslag till åtgärder är aktuella att genomföra avseende styrning av informationssäkerhet: Den befintliga IT-strategin och IT-säkerhetspolicyn måste uppdateras enligt de förutsättningar som gäller för verksamheten idag. Vidare bör policydokument med underliggande riktlinjer delges samtliga anställda Dessutom krävs en regelbunden information/utbildning för både nyanställda och redan anställda för att personalen skall kunna upprätthålla säkerheten i sitt dagliga arbete. Avslutningsvis måste en utbildningsplan upprättas för de nyckelpersoner inom kommunen som skall utarbeta och införa ovanstående regelverk för IT-säkerhet. 3.2 Rutiner beträffande personal Kännedomen om gällande IT-säkerhetspolicy är bristfällig. I samband med att personal anställs ges en kort introduktion om internetsäkerhet samt det personliga ansvaret för datoranvändare. Det finns dock ingen systematisk och kontinuerlig information/utbildning i informationssäkerhet för hela personalen. I samband med eventuella överträdelser av IT-säkerhetspolicy, saknas det formella och dokumenterade regler som anger att detta beivras på något sätt. GRANSKNINGSRAPPORT 3 Sida: 5

6 Nedanstående förslag till åtgärder är aktuella att genomföra när det gäller rutiner beträffande personal: För att en IT-säkerhetspolicy skall fylla sitt syfte måste den vara känd av samtliga anställda, för att de skall kunna vara medvetna om de säkerhetskrav som ställs. Detta gäller vid hantering av information såväl på som utanför den ordinarie arbetsplatsen. Rutiner för att sprida denna IT-säkerhetspolicy behöver därför upprättas. Regelbundet uppdaterad säkerhetsutbildning/information bör införas för alla anställda, så att nyanställda och redan anställda kan följa säkerhetsbestämmelserna. Säkerhets-utbildning bör riktas mot olika kategorier av anställda på olika nivåer, så att varje kategori av anställda får den utbildning de behöver i sitt dagliga arbete (t ex hantera utrustning på ett säkert sätt, samordna och övervaka säkerhetsarbetet). Avsaknad av disciplinära åtgärder vid överträdelse av säkerhetsbestämmelser kan minska personalens respekt för efterlevnad av säkerhetskrav. Det rekommenderas att informationssäkerhetspolicyn innehåller information om vilka åtgärder som vidtas om policyn inte efterlevs. 3.3 Rutiner för åtkomstkontroll Dokumenterade rutiner för behörighetsadministration finns delvis, såsom att nyanställda tilldelas ett konto (vilket styr vilka rättigheter användaren har till olika delar av nätverket) som godkänns av respektive chef samt riktlinjer för lösenord. Behörighetspolicy som styr åtkomst till information och informationsbehandlingsresurser saknas. Systematisk granskning av befintliga användares rättigheter saknas vilket även gäller hur loggfiler skall analyseras och hanteras. Nedanstående förslag till åtgärder är aktuella att genomföra avseende rutiner för åtkomstkontroll: Avsaknad av fullständigt dokumenterade rutiner för hela behörighetsprocessen kan leda till att administrationen av behörigheter blir bristfällig. Detta kan leda till dålig kontroll och uppföljning över användares åtkomsträttigheter. Det är rekommenderat att utveckla behörighetsrutiner även för omregistrering vid förändrade behörigheter och avregistrering av användare. Ett beslut om vilka händelser som ska loggas bör tas, t ex för att kunna återskapa händelseförlopp och upptäcka säkerhetshotande händelser samt erhålla driftshistorik. Rutiner för att följa upp och analysera samt förvara loggar bör fastställas. GRANSKNINGSRAPPORT 3 Sida: 6

7 3.4 Drift Dokumenterade rutiner för driftsättning och godkännande av nya system saknas, men genomförs enligt informella rutiner idag. Det samma gäller ändringar och uppdateringar av operativsystem, centrala system samt databaser. Beredskap för att hantera säkerhetsincidenter saknas, utan hanteras enligt informella rutiner. Det saknas en uppdelning av testmiljö och produktionsmiljö avseende centrala system, vilket innebär att nya versioner installeras utan att en test genomförs mot de systeminställningar som är aktuella för kommunen. Informella rutiner för avveckling av datamedia finns där det bl.a. borras hål i hårddiskar. Nedanstående förslag till åtgärder är aktuella att genomföra för att uppnå bättre säkerhet när det gäller driften: Driftsrutiner bör inkluderas i den framtida säkerhetspolicyn och dokumenterade rutiner för driftsättning bör skapas. För centrala system bör en uppdelning av testmiljö och produktionsmiljö upprättas, för att inte äventyra den dagliga driften i samband med installation av uppdateringar i befintliga system. Även om kommunen använder sig av standardsystem i stor utsträckning, är dessa oftast uppbyggda utifrån en mängd unika inställningar som görs för varje installation. Systemleverantören har ett ansvar för att de system och uppdateringar som installeras uppfyller fastställda kvalitetsmål, men det är ytterst kommunens ansvar att kontrollera detta innan installation görs i produktionsmiljö. 3.5 Systemutveckling- och förvaltning Det saknas en modell för systemutveckling och införande av system. Även om avsikten är att systemutveckling ej skall förekomma inom kommunen, förekommer det kontinuerligt upphandlingar och införande av IT-system vilket kräver styrning. Nedanstående förslag till åtgärder är aktuella att genomföra avseende systemutveckling- och förvaltning: Modell för systemutveckling och införande av system bör utvecklas och dokumenteras, för att göra det möjligt att kvalitetssäkra denna typ av aktiviteter. Detta är viktigt inte minst i de fall kommunen skall leveransgodkänna ett installerat system, där en bristfällig leveranskontroll riskerar att resultera i ett system som ej motsvarar de krav eller de kostnadsramar som gäller för systemet. GRANSKNINGSRAPPORT 3 Sida: 7

8 3.6 Kommunikation Information krypteras endast i samband med att betalningsuppgifter skickas till betalningsinstitut. I övrigt har ingen programvara för kryptering installerats. Riskanalys avseende anslutning mot Internet saknas samt att kontinuerlig test av säkerheten i befintliga brandväggar ej genomförs. Nedanstående förslag till åtgärder är aktuella att genomföra följande: För samtliga organisationer där en anslutning mot Internet förkommer, är det viktigt att säkerheten i dessa anslutningar testas och verifieras kontinuerligt. Mot bakgrund av detta bör en sådan granskning genomföras. 3.7 Fysiskt skydd Säkerheten i kommunens datarum, där all utrustning för centrala system hanteras, är kraftigt eftersatt, vilket även påtalades i en rapport av ÖCB 1999 (Överstyrelsen för Civil Beredskap). Det saknas bl.a. kodlås för att komma in i rummet, brandlarm och inbrottslarm. Nedanstående förslag till åtgärder är aktuella att genomföra när det gäller det fysiska skyddet: Den fysiska säkerheten för datarummet måste förstärkas omgående, för att kunna uppfylla de mest grundläggande säkerhetskrav som är aktuella för IT-stödet. 3.8 Avbrottsplanering En avbrottsplan har inte tagits fram och det saknas dokumenterade reservrutiner. I samband med övergången till år 2000 gjordes riskanalyser, men dessa mynnade ej ut i en utveckling av reservrutiner. Nedanstående förslag till åtgärder är aktuella att genomföra för att kunna hantera eventuella avbrott: Avbrott i IT-verksamheten innebär ofta allvarliga skador ur informationssäkerhets-synpunkt. Det kan vara svårt att återuppta verksamheten inom acceptabel tid efter avbrott, om en fungerande avbrottsplan och reservrutiner saknas. De riskanalyser som gjort det senaste året bör uppdateras. Utifrån analyserna är det möjligt att fastställa vilka konsekvenser ett avbrott får för verksamheten och det är motiverat att ta fram en avbrottsplan för hela eller delar av verksamheten. GRANSKNINGSRAPPORT 3 Sida: 8

9 3.9 Rättsliga krav Det saknas en sammanställning över vilka rättsliga krav som gäller för respektive informationssystem. Nedanstående förslag till åtgärder är aktuella att genomföra avseende rättsliga krav: Det måste tas hänsyn till rättsliga krav, så att man inte handlar i strid mot legala krav. Särskilt viktigt är det att beakta rättsliga krav vid behandling av personuppgifter, systemutveckling och förvaltning Revision och kontroll Dokumenterade rutiner för kontroll av efterlevnad av säkerhetspolicy saknas. Regelbunden kontroll med avseende på teknisk efterlevnad saknas och det finns ingen dokumentation över hur eller hur ofta kontrollen skall genomföras. Nedanstående förslag till åtgärder är aktuella att genomföra för att upprätthålla revision och kontroll: Regelbundna kontroller skall göras för att följa upp att beslutade säkerhetsåtgärder i ITmiljön har implementerats på rätt sätt och att inga förändringar har skett. Malmö John Wallhoff IT-revisor (CISA) GRANSKNINGSRAPPORT 3 Sida: 9

10 4. Källor (referensdokument) Regler för Internet och elektronisk post, daterad Välkommen som användare i vårt datanät Till dig som är datoranvändare i vår kommun, daterad Sammanträdesprotokoll avseende Åstorp IT-rapport, daterad Rapport med förslag Nr 1, Åstorps kommuns IT-grupp daterad mars 1996 Rapport med förslag Nr 2, Åstorps kommuns IT-grupp daterad april 1997 Sammanträdesprotokoll IT-gruppen daterad Sammanträdesprotokoll IT-gruppen daterad Sammanträdesprotokoll IT-gruppen daterad Övriga källor Anita Bengtsson, ADB-ansvarig, Åstorps Kommun.(Personlig intervju). Ulrika Håkansson, Systemansvarig, Socialförvaltningen, Åstorps Kommun (Personlig intervju). Klas Jörgensen, IT-tekniker, Åstorps Kommun (Telefon intervju). GRANSKNINGSRAPPORT 3 Sida: 10