Arvika kommun. Granskning av kommunens anpassning till nya IT-lösningar. KPMG AB Antal sidor: 15

Transkript

1 Granskning av kommunens anpassning till nya IT-lösningar KPMG AB Antal sidor: 15

2 Innehåll 1. Sammanfattning 1 2. Bakgrund 3 3. Syfte och revisionsfrågor 4 4. Avgränsning 4 5. Ansvarig nämnd 5 6. Revisionskriterier 5 7. Metod 5 8. Resultat av granskningen Informationssäkerhetspolicy Upphandlingar av molntjänster Riskanalyser vid inköp av molntjänster Kontroll av molntjänstleverantörer Rutiner kring åtkomst och behörigheter Driftrelaterade rutiner för molntjänster Informationssäkerhet kring mobila enheter Slutsatser och rekommendationer Iakttagelser och rekommendationer Väsentliga iakttagelser Övriga förbättringsområden 16

3 1. Sammanfattning KPMG har genomfört ett uppdrag som syftat till att utreda hur kommunens anpassning till nya ITtekniska lösningar genomförts, samt hur informationssäkerhet och offentlighetsprincipen beaktas med anledning av detta. Granskningen har fokuserat på informationssäkerheten kring de molnlösningar kommunen använder samt kommunens rådande policydokument och riktlinjer. Under senare år har nya tekniska lösningar inom IT-området tillkommit. Användandet av mobiltelefoner och läsplattor hör till vardagen för merparten av kommunens elever och anställda. Ytterligare används molntjänster i allt högra utsträckning. Den nya utvecklingen ställer nya krav på informationssäkerhet för att uppnå de krav som rådande regelverk och standarder kräver kring hantering av data och information. Granskningen har skett genom intervju med nyckelpersoner kring informationssäkerhetsarbetet inom kommunen. Ytterligare har en dokumentanalys av befintliga policydokument och säkerhetsinstruktioner genomförts. IT-organisationen i Arvika består av ett tiotal personer uppdelade på två team, ett drift-team och ett support-team. Kommunen har etablerade rutiner för att administrera användare och behörigheter. Samtliga kritiska verksamhetssystem har en utsedd systemägare och systemförvaltare. I granskningen har KPMG kunnat konstatera att kommunen saknar vissa väsentliga rutiner, riktlinjer och formella styrande dokument, som hanterar och definierar de krav kring upphandlingar av molnbaserade informationssystem som bör finnas med vid samtliga upphandlingar. Arvika kommun har ett flertal styrande dokument och riktlinjer, dessa är i regel inte helt uppdaterade och anpassade till gällande regelverk och standarder. Kommunen arbetar ofta efter informella rutiner där relevanta frågeställningar kring informationssäkerhet ofta berörs, men inte utförs på ett standardiserat sätt. Kommunen har en informationssäkerhetspolicy som senast uppdaterades Det medför att informationssäkerhetspolicyn inte säkerställer att tillräcklig hänsyn ges till de nya tekniska lösningar som är relevanta idag, exempelvis molnbaserade applikationer. Kommunen genomför utbildning i informationssäkerhet sporadiskt, men inte utefter ett standardiserat arbetssätt eller schema. Användare i kommunens nätverk är främst styrda genom användarinstruktioner varför det är viktigt att dessa är helt uppdaterade. Vissa brister avseende kravställning mot tjänsteleverantörer av molntjänster har identifierats, likaså saknas ett standardiserat sätt att kontrollera lämpligheten hos en presumtiv samarbetspartner. Rådande lagstiftning som PUL och offentlighetsprincipen etc. tas det hänsyn till vid upphandlingar av nya molntjänster, det saknas dock ett formaliserat arbetssätt för att kravställa primära driftrelaterade frågor avseende, backup och test av återläsning av säkerhetskopierad data. Ofta används den standardlösning som leverantören erbjuder, men det görs inga ytterligare kravställningar. 1

4 KPMG noterar i sin granskning följande väsentliga iakttagelser med tillhörande rekommendationer till hur dessa kan stärkas: 1. Formella rutiner saknas vid upphandling av molntjänster - KPMG rekommenderar kommunen att stärka rutinerna kring inköp och upphandling genom att formalisera och standardisera riktlinjer för upphandlingar av verksamhetssystem inkluderat specifika frågeställningar som härleds från molntjänster. Ytterligare kan en checklista som tar hänsyn till ovan nämnda områden upprättas som en guide i syfte att säkerställa att samtliga viktiga aspekter vid upphandlingar av molntjänster tas i beaktande. - KPMG rekommenderar att en rutin implementeras för att genomföra risk- och sårbarhetsanalyser vid upphandlingar av molntjänster. Vid framtida upphandlingar bör kommunen säkerställa att molntjänsten som upphandlas ligger i linje med informationssäkerhetspolicyns krav och riktlinjer. - KPMG rekommenderar kommunen att formalisera standardiserade rutiner för hur kravställning kring kontinuerlig kontroll av molntjänstleverantörer ska se ut. Detta bör inkluderas i upphandlingsförfarandet. - KPMG rekommenderar kommunen att upprätta tydliga rutiner för hur kravställning ska se ut kring hur data och information i en molntjänst ska raderas. Detta är extra viktigt avseende sekretessbelagd information, både ur ett intern och ett externt perspektiv. Kommunen bör även säkerställa att riktlinjer kring kravställning avseende kryptering av data säkerställs. 2. Informationssäkerhetspolicyn har inte uppdaterats sedan KPMG rekommenderar kommunen att se över och uppdatera den befintliga informationssäkerhetspolicyn, policydokument och säkerhetsinstruktioner i syfte att säkerställa att dessa är aktuella och anpassade för nya IT-tekniska lösningar. - KPMG rekommenderar att kommunen implementerar en strategi för kontinuerlig utbildning inom informationssäkerhet som inkluderar utmaningar som uppstår i och med ny IT-teknisk utveckling. 3. Brister kring driftrelaterade rutiner - KPMG rekommenderar kommunen att formalisera riktlinjer som ska tas i beaktande som kravställning vid varje upphandling. Dokumentet bör vara detaljerat och syfta till att säkerställa att kommunens data skyddas och går att återställa. 2

5 2. Bakgrund KPMG har, på uppdrag av s revisorer, genomfört ett uppdrag där vi granskat hur kommunens anpassning till nya IT-tekniska lösningar genomförts samt hur informationssäkerhet och offentlighetsprincip beaktas med anledning av detta. Uppdraget ingår i revisionsplanen för år Under senare år har nya tekniska lösningar inom IT-området tillkommit. Användandet av mobiltelefoner och läsplattor hör till vardagen för de flesta och medför att användare kan komma åt data från platser utanför kommunens nätverk. Handlingar kommuniceras elektroniskt och frågeställningar som är aktuella är hur rådande lagstiftning som offentlighetsprincipen och personuppgiftslagen samt informationssäkerhet säkerställs. Riskerna med att ha delar av sitt verksamhetsstöd i molnet är flera och de är erfarenhetsmässigt inte särskilt väl kända och hanterade i kommunerna och/eller i de kommunala bolagen. En svårighet i molnsammanhang är att kommuner oftast inte har samma kontroll- och påverkansmöjligheter på de datoriserade verksamhetsstöden. Enskilda företrädare för en kommun gör inte alltid alla nödvändiga rättsliga överväganden innan de inför molntjänstlösningar. Här är det fråga om att i förväg beakta de rättsfrågor som kommer ifråga. I praktiken blir det svårt att lägga hela ansvaret på en enda befattningshavare i kommunen, eftersom de rättsfrågor som behöver hanteras är av betydande omfattning och, särskilt när regler skall tillämpas, kräver kunskap för hanteringen. Det kan till exempel vara fråga om tillämpning av offentlighetsprincipen, arkivlagen och olika förvaltningsrättsliga bestämmelser jämte regelverken i anslutning till behandling av personuppgifter och offentlig upphandling. Till detta skall även läggas kommunens interna regelverk. Närmast tänker vi här på informationssäkerhetspolicyn med tillhörande tillämpningsföreskrifter. En ytterligare frågeställning avseende molntjänster inkluderar säkerhetsrelaterade aspekter utifrån ett informationssäkerhetsperspektiv. Det finns frågeställningar kring hur molntjänstleverantörerna garanterar att endast rätt personer har åtkomst till kritisk data och vad som garanterar att inga otillbörliga ändringar genomförs av informationen. Ytterligare aspekter inkluderar hanteringar av löpande uppdateringar av molntjänsten samt hur data och system säkerhetskopieras. Samtliga dessa frågeställningar avser kravställning och policy mot molntjänstleverantörer. Risken är att samtliga dessa aspekter inte har blivit beaktade inom kommunen och att det inte ännu etablerats något enhetligt arbetssätt för kravställning. Under senare år har nya tekniska lösningar inom IT-området tillkommit. Användandet av mobiltelefoner och läsplattor hör till vardagen för de flesta. Handlingar kommuniceras elektroniskt och frågan är bl. a hur både informationssäkerhet och offentlighetsprincipen säkerställs. Utifrån revisorernas erfarenheter från den övergripande granskningen, drog kommunens revisorer slutsatsen i sin riskanalys, att detta område behövde granskas. 3

6 3. Syfte och revisionsfrågor Det övergripande syftet med granskningen har varit att fastställa om rutiner kring informationssäkerhet med bäring på ny IT-teknisk utveckling, såsom molntjänster, var ändamålsenlig. Följande revisionsfrågor formulerades utifrån syftet att besvaras i granskningen: Finns en informationssäkerhetspolicy med tillhörande regelverk som tar i beaktande säkerhetsfrågor med avseende på ny IT-teknisk utveckling såsom molntjänster, mobila enheter och hantering av sociala medier? Vad finns det för riktlinjer kring upphandling av molntjänster? Tar dessa i beaktande vilka ställningstaganden som ska utföras med avseende på analys, riskhantering och kravspecifikation i molntjänster? Inkluderas ytterligare utredning av kompetens hos tjänsteleverantören samt kravställning kring löpande revidering av utförd tjänst? Vid inköp av en molntjänst, vilka rättsliga överväganden har gjorts och är de bedömda och dokumenterade i en riskanalys? Uppfyller tjänsten de krav som framgår av kommunens informationssäkerhetspolicy? Vilka kontroller av tjänsten och tjänsteleverantören av molntjänster har beslutats, införts och vid granskningstillfället utförts? Har kontrollerna identifierat brister vilka lett till åtgärder från kommunen och/eller leverantören? Finns rutiner för åtkomsthantering för molntjänster inklusive rutiner för beställning av behörighetsförändringar, lösenordshantering, begränsning kring höga behörigheter och säkerhet relaterad till att endast behöriga personer har åtkomst till applikationer eller data som molntjänsten avser? Vilka rutiner finns på plats för återskapande av data vid en eventuell katastrof hos molntjänstleverantören, hur ser rutinerna ut för säkerhetskopiering och test av återläsning? Vilka kravställningar finns mot molntjänstleverantörer kring säkerhetskopiering och test av återläsning? Vad gäller vid borttagande av data och hur säkerställs att informationen förvinner? Hur säkerställs att sekretessbelagd information skyddas (kryptering)? Hur säkerställs informationssäkerheten vid användandet av läsplattor, datorer och mobiltelefoner? Hur har kommunen anpassat sig till den nya tekniken och hur säkerställs att enbart behöriga har åtkomst till informationen på läsplattor och mobiltelefoner etc.? 4. Avgränsning Granskningen omfattar ett urval av kommunstyrelsens övergripande arbete kring informationssäkerhet och molntjänster samt kartläggning av vilka rutiner kommunstyrelsen har i syfte att säkerställa att förvaltningarna följer gällande regler. 4

7 Granskningen omfattar inte en utvärdering av lämpligheten i system, hårdvara eller molntjänstlösningar som kommunen använder. Granskningen inkluderar inte implementering av de rekommendationer som lämnas. 5. Ansvarig nämnd Granskningen avser huvudsakligen kommunstyrelsen. 6. Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för revisionens analyser, slutsatser och bedömningar. Revisionskriterier i denna granskning har främst utgjorts av: Offentlighetsprincipen Kommunallagen 6 kap. 7. Tillämpbara interna regelverk och policys avseende informationssäkerhet och säkerställande av offentlighetsprincipen Jämförbar praxis avseende informationssäkerhet 7. Metod Följande granskningsmoment har genomförts: Dokumentstudier av relevanta dokument o o Policydokument Rutinbeskrivningar och användarvillkor Faktainsamling av underlag Intervjuer med berörda tjänstemän o o o o o IT-chef Säkerhetssamordnare Ansvarig för tekniska plattformar inom stöd och utbildningsförvaltningen Pedagog och samordnare IT-tekniker 5

8 8. Resultat av granskningen Bakgrund till IT-miljön har en IT-organisation som består av ca tio personer. IT-organisationen är uppdelad i två team, ett drift-team och ett support-team. Drift-teamet är lokaliserade i kommunhuset medan support har sin arbetsplats i kommunens näringslivscentrum. Drift-teamet arbetar främst med tekniska frågor och driften av systemmiljön, medan support-teamet arbetar med att driva ITprojekt och stödja systemförvaltare och pedagoger med supporttekniska frågeställningar. Samtliga kritiska verksamhetssystem har en systemägare och en systemförvaltare. Kommunen samarbetar med andra värmländska kommuner vid upphandlingar av nya programvaror och systemrelaterade frågeställningar. Denna samverkan kommunerna emellan bidrar till lägre kostnader vid upphandlingar och en kvalitetssäkring av nya produkter. Målsättningen är att kommunerna i regionen ska samutveckla tjänster och harmonisera IT i regionen. Kommunen har i stor utsträckning egen drift av sin IT-miljö och drifthallen är placerad lokalt i kommunhuset. Kommunen genomför vid revisionstillfället ett projekt där de håller på att bygga en sekundär placering för sin driftmiljö i händelse av en katastrof. Projektet är långt framgånget och infrastrukturen är färdigställd. Kommunen upplever att de har en stabil IT-miljö, där driftrelaterade incidenter främst har berott på yttre faktorer exempelvis avgrävda fiberkablar etc. har sedan slutet av februari arbetat med att färdigställa en risk och sårbarhetsanalys för skolverksamheten vilken även innefattar en kontinuitetsplan. Analysen fokuserade i ett tidigt skede på IT-driften och externa och interna informationssystem. Som hjälpmedel i analysen har metodstöd inhämtats delvis från SKL (Sveriges kommuner och landsting) men även från kontinuitetsmetoder. Riskanalyserna har fokuserat på både interna och externa hot. Vid revisionstillfället har risk-och sårbarhetsanalyserna endast genomförts för skolverksamheten, målsättningen är att analyser ska göras för samtliga verksamheter. Kommunen använder ett antal olika molntjänster i verksamheten, främst inom skolverksamheten. Kommunen använder fortfarande merparten traditionella systemlösningar och de har medvetet skyndat långsamt i syfte att verksamheten ska hinna anpassa sig till den nya teknologin. Samtliga kritiska verksamhetssystem har en systemägare som har det överordnade ansvaret för systemet och en systemförvaltare med ansvar för administrationen i systemet. har etablerade rutiner för användar- och behörighetsadministration i kommunens två nätverk och verksamhetssystem. Nätverken är segregerade på administrativ personal och pedagogisk personal och elever, det administrativa nätverket används främst av anställda inom kommunen, medan pedagogiska nätverket främst används av pedagogisk personal samt elever inom skolverksamheten. 6

9 8.1 Informationssäkerhetspolicy Arvika har en informationssäkerhetspolicy, daterad , som finns tillgänglig på kommunens intranät. Informationssäkerhetspolicyn är grundläggande och täcker in väsentliga områdena och tar upp de frågeställningar användare kan ställas inför dagligen. Arvika har en övergripande informationssäkerhetspolicy som dikterar villkoren för den övergripande informationssäkerheten, i relation till policyn har kommunen upprättat säkerhetsinstruktioner för användare och systemförvaltare. Ytterligare finns det specifika beskrivningar som avser vilka skyldigheter och förhållningssätt som krävs vid användandet av mobila enheter, sociala medier och politikerdatorer. De åtaganden användare har vid användning av kommunens IT-miljö är främst styrt genom policys som användare förväntas efterfölja. Nya användare behöver skriva på ett avtal där de intygar att de har tagit del av och ska följa de instruktioner kring IT-användning som är definierade i de olika policydokumenten. Kommunen har upprättat riktlinjer och användarvillkor för bland annat sociala medier, fjärrstyrda datorer och mobiltelefoni. Riktlinjer och policydokument är de styrande dokumenten som reglerar användning av datorer och mobila enheter. Därmed är det extra viktigt att styrande dokument är uppdaterade och aktuella för att möta dagens krav på informationssäkerhet. Avseende utbildning i informationssäkerhet saknar kommunen standardiserade utbildningar som sker på en regelbunden basis. Utbildningar i informationssäkerhet har genomförts för nyanställda och vissa punktinsatser har utförts inom skolverksamheten. Årligen försöker utvalda inom ITavdelningen träffa ansvariga från verksamheten för att informera om informationssäkerhet och aktiviteter som är aktuella inom området. Utbildning sker kontinuerligt men utförs inte på ett standardiserat sätt utefter ett fastlaget schema. KPMG kommentar Generellt för dessa policydokument och säkerhetsinstruktioner är att de inte är helt uppdaterade, dels ur ett tidsperspektiv men även gällande de nya tekniska lösningar som är relevanta idag, exempelvis molnbaserade applikationer. Policydirektiven utgör en viktig funktion i att styra användare med direktiv med vad som är tillåtet och inte. Det är inte möjligt att genom systemmässiga lösningar helt styra användare och detta är inte heller önskvärt enligt. Användare är därmed främst styrda genom policys och riktlinjer vilket innebär att det är väldigt viktigt att samtliga användare får samma utbildning och grundnivå i informationssäkerhet. Detta i syfte att säkerställa att användare inte gör egna subjektiva och potentiellt mindre lämpliga bedömningar. 8.2 Upphandlingar av molntjänster Upphandlingar av informationssystem inom kommunen följer inarbetade rutiner och skiljer inte på om det är ett vanligt verksamhetssystem eller en molnbaserade applikation. Det är främst inarbetade rutiner i organisationen som används vid upphandlingar och inte standardiserade rutiner. Inga inköp görs på eget bevåg utan det följs upp av organisationen och flertalet instanser behöver godkänna, exempelvis kommunens PUL-koordinator. Avstämningar genomförs kontinuerligt med ITavdelningen vid inköp av molntjänster, arbetssättet är dock inte formaliserat utan kan snarare ses som en inarbetad process. 7

10 Samverkan med andra kommuner inom regionen är något som sker idag men även något Arvika kommun vill utveckla i högre utsträckning. Samverkan innebär att de söker tips, råd och idéer från grannkommunerna samt upphandlar verksamhetssystem gemensamt. Kommunen har en kontinuerlig dialog med kollegor från andra kommuner i regionen genom gemensamma forum för kommunikation. Samverkan inom regionen visar sig även vid upphandlingar då stora ramavtal ofta upphandlas regionalt. Vid olika typer av upphandlingar utnyttjas olika kommuner i länet, med syftet att samtliga kommuner inom samverkansklustret ska kunna dra fördelar av upphandlingar. Regional samverkan vid upphandlingar ger betydligt större resurser och stordriftsfördelar och representanter från anser att ännu mer strukturerat samarbete är positivt. Arvika kommun har också personer närvarande i föreningen Sambruk som syftar till att genom samverkan skapa ett bättre e-samhälle. Avseende uppföljning och revidering av köpta tjänster finns det inga krav på detta vid upphandlingar. Det är mer behovsanpassat och sker därför inte efter någon löpande standard. Därmed tas diskussioner med leverantörer vid behov. Det finns en generell inköpsprocess i kommunen, den efterlevs dock inte på ett enhetligt sätt och därmed ser rutinerna kring upphandlingar lite olika ut. Kommunen håller på att standardisera och formalisera en process som ska vara kommungemensam. I dagsläget saknas formella dokumenterade rutiner för upphandling av specifikt molntjänster som tar hänsyn till analys, riskhantering och kravspecifikationer i molntjänster. Det finns heller inga riktlinjer för hur kompetensen hos tjänsteleverantören ska utvärderas eller hur kravställningar kring löpande revidering av den köpta tjänsten ska utformas. Kommunen använder sig av en lathund vid införskaffning av nya informationssystem. Det är en checklista som innehåller punkter som behöver dokumenteras och finnas med vid en upphandling. Checklistan består bland annat av vad en kravspecifikation ska innehålla, hur upphandlingen skall se ut samt vad som krävs vid införande och drift. KPMG kommentar KPMG kan se att kommunen har tagit hänsyn till analys, riskhantering och kravspecifikationer vid upphandlingar av molntjänster. Ytterligare har kompetensen hos leverantören utvärderats och viktiga frågeställningar kring datahantering utretts. En inköpsrutin finns inom kommunen, den är dock generell och tar inte hänsyn till de krav på informationssäkerhet som ställs på molnbaserade systemlösningar. Det saknas en policy som hanterar specifika kritiska områden avseende molntjänster, såsom aktuella lagstiftningar, PUL samt olika typer av krav på hantering och lagring av data etc. 8

11 8.3 Riskanalyser vid inköp av molntjänster Det saknas etablerade rutiner och riktlinjer för att vid samtliga upphandlingar av molntjänster göra en riskanalys avseende rättsliga överväganden samt säkerställa att dessa överensstämmer med informationssäkerhetspolicyn. Checklistan för införskaffande av nya system täcker in väsentliga områden och ger vägledning till vad som ska vara med, den används dock inte på en djupgående nivå. Informationssäkerhetspolicyn är inte uppdaterad sedan 2009 och nya infallsvinklar som bör tas i beaktande behöver uppdateras i informationssäkerhetspolicyn. Dessa frågeställningar ligger dock i linje med kommunens framtida vision och är områden kommunen ämnar att förbättra. Det arbete som anställda inom kommunen har gjort med den kommunövergripande kontinuitetsplanen ska hjälpa de att göra riskanalyser i större utsträckning än vad som sker idag. Vid upphandlingar av molntjänster tas hänsyn alltid till gällande lagstiftningar som offentlighetsprincipen, arkivlagstiftningen och personuppgiftslagen. Den övergripande generella risk- och sårbarhetsanalysen som blivit genomförd på skolverksamheten täckte in flertalet viktiga steg som bör finnas med vid upphandlingar av molntjänster. Under analysens gång har flertalet system berörts och analyser har därmed utförts för dessa system. Risk- och sårbarhetsanalysen identifierades att det fanns ett stort utbildningsbehov kring informationssäkerhet. KPMG kommentar Kommunens informella arbetssätt är att göra rättsliga övervägande utefter de lagar och förordningar som finns. Det saknas rutiner för att göra riskanalyser vid upphandlingar, enligt kommunen ska detta göras vid framtida upphandlingar. Den erfarenheten kommunen fått genom utförd risk och sårbarhetsanalyserna till kontinuitetsplanen ska, enligt kommunen, användas vid framtida upphandlingar. 8.4 Kontroll av molntjänstleverantörer Kommunen upplever att det är svårt att analysera och verifiera kvalité och kompetens för den produkt de köper, delvis för att de är en mindre kommun som inte har resurser för att göra detta i några högre utsträckning. Informella rutiner de arbetar efter är att de inte vill vara piloter vid nya applikationer, undersöker referenser och söker stöd i den regionala samverkan som sker inom regionen. I nuläget finns inga beslut på vilka kontroller som ska utföras vid granskningar av tjänsteleverantörer. Granskningar genomförs genom dialog med tjänsteleverantörer, referenser och input från kommunkollegor. Där brister identifierats har en vidare diskussion tagits, både internt och med tjänsteleverantören. Bristerna som uppdagats har analyserat inom kommunen av relevanta personer som både innehar rätt kompetens och verksamhetsområde. Referenser är något kommunen arbetar aktivt med vid upphandlingar. Samverkan kommuner emellan är oftast inget problem upplever Arvika. Övriga kommuner i Sverige är generellt hjälpsamma och hjälper Arvika med expertis, råd och kompetens vid behov. Samverkan är ömsesidig och Arvika bidrar med erfarenheter till andra kommuner vid behov. 9

12 KPMG kommentar Det genomförs granskningar av både molntjänster och tjänsteleverantörer, de utförs dock inte på ett standardiserat sätt. Det saknas standardiserade rutiner och riktlinjer för att på ett enhetligt sätt kontrollera leverantörer av molntjänster. 8.5 Rutiner kring åtkomst och behörigheter Processen för att tilldela behörigheter och åtkomsträttigheter i applikationer, nätverk och molntjänster kräver idag att flertalet personer medverkar. Kommunen använder standardiserade mallar som fylls i av ansvariga personer inom kommunen för att skapa användarkonton och tilldela korrekta behörigheter i olika verksamhetssystem. Rutinerna ser lite olika ut beroende på vilket verksamhetssystem åtkomsträttigheten och behörigheten gäller. Det finns definierade ansvariga för verksamhetssystemen och molnlösningarna, dessa personer ansvarar för administrationen i respektive system. Om en person byter avdelning eller tjänst ska de nya behörigheterna administreras på likadant sätt. s IT-avdelning kommer på sikt att skaffa sig generiska automatiska rutiner för att administrera användare och behörigheter. Ett regionalt system för användar- och behörighetsadministration håller på att upphandlas, Karlstad kommun kommer att börja använda lösningen och i ett senare skede kommer att använda systemet. Denna lösning medför att kommunen kommer att kunna administrera användare från ett system, vilket i sin tur leder till att behörigheter följer med till de olika verksamhetssystemen. har två nätverk, ett administrativt nätverk och ett pedagogiskt nätverk. För åtkomst till kommunens administratörsnätverk krävs ett användarid och ett lösenord. De definierade lösenordkraven för administratörsnätverket är att lösenord behöver innehålla minst 8 tecken, ska bytas var 42:a dag, de senaste 11 lösenorden går ej återanvända, det finns inga ytterligare krav avseende lösenords komplexitet. Lösenordskraven för pedagogiknätverket är svagare då det enda kravet är att lösenordet ska vara 8 tecken långt. Gällande kommunens surfplattor är det inte tillämpbart att implementera krav på periodiskt byte av lösenord. Det finns vissa variationer i lösenordskrav beroende på elevernas ålder, lärare lagrar elevers lösenord i lösenordsfiler. Generellt har kommunen starkare lösenordskrav i de olika verksamhetssystemen. För åtkomst till befintliga molntjänster krävs ingen autentisering mot kommunens nätverk då de är åtkomliga från Internet. Detta exkluderar molntjänsten Google apps for Education då en autentisering sker mot Googles servrar vilka i sig har fått information från kommunens AD, därmed sker indirekt autentisering mot AD för den aktuella molnlösningen. Kommunen saknar en gemensam lösenordspolicy som definierar vilka lösenordskrav som ska gälla i kommunens olika nätverk, verksamhetssystem och molnlösningar. Det finns inga formella riktlinjer kring hur användare får lagra data, de har en egen hemkatalog som de ska lagra data på. Användare kommuniceras att det är deras eget ansvar att lagra och hantera dokument på ett korrekt sätt. Det används ingen form av systembegränsning eller vägledning kring hur datalagring ska ske. 10

13 KPMG kommentar Arvika har etablerade rutiner för att administrera användare. Mycket av administrationen sker i olika verksamheter inom kommunen, där flertalet personer behöver medverka för att ett användarkonto ska skapas och korrekta behörigheter tilldelas i verksamhetssystemen. Kommunen saknar en kommunöverskridande lösenordspolicy som definierar lösenords utformning på olika nivåer. 8.6 Driftrelaterade rutiner för molntjänster Kommunen har i avtalen med molntjänstleverantörer säkerställt rutiner avseende säkerhetskopiering av data samt återläsningstider, dock genomförs ingen ytterligare kravställningar mot leverantörerna. Verksamheten gör en bedömning för varje enskild upphandling. Vid kommunens senaste upphandling av en molntjänst accepterade de kundens standardlösning och riktade inga ytterligare kravställningar mot molntjänstleverantören. Inga krav ställdes på utformningen för test av återläsning av säkerhetskopierad data, vilket medför att ramarna för hur återläsningen ska utföras samt hur lång tid det ska få ta inte har definierats. I checklistan för införskaffande av verksamhetssystem ska en bedömning av krav på säkerheten för datan analyseras genom krav på säkerhet avseende konfidentialitet, riktighet och tillgänglighet. Checklistan tar inte hänsyn till utformning av säkerhetskopiering och test av återläsning av säkerhetskopierad data. Det saknas en formaliserad dokumenterad rutin med kravställningar kring återskapande av data i händelse av katastrof, rutiner för säkerhetskopiering, hur det säkerställs att data tas bort samt hur sekretessbelagd information skyddas. KPMG kommentar Kommunen genomför granskningar av avtal kring återställning och hantering av data vid upphandlingar av molntjänster. Granskningen säkerställer främst att relevanta aspekter finns med i avtalet, men inte i vilken omfattning tjänsterna ska gälla. KPMG noterar att aktuella frågeställningar tas i beaktande vid upphandlingar, men att det saknas kravställningar på utformningen av dessa krav. Det är viktigt att ha rutiner för att säkerställa att data tas bort i händelse av systembyte eller byte av lagringsmedier. Kommunen genomför ingen löpande uppföljning av de tjänster som systemleverantörer levererar, uppföljning görs främst sporadiskt utan formella riktlinjer. Det saknas en rutin och det saknas kravställningar kring att kommunen ska genomföra löpande revidering av tjänster. 8.7 Informationssäkerhet kring mobila enheter Kommunen håller vid revisionstillfället på att undersöka möjligheten att implementera en administrationslösning, som möjliggör för IT-avdelningen att hantera och administrera mobiltelefoner. I nuläget är det en manuell process, där mobiltelefoner förkonfigureras innan de lämnas till slutanvändaren. Samtliga mobiltelefoner som distribueras ut till kommunanställda är förkonfigurerade med vissa säkerhetsaspekter av kommunens IT-avdelning, detta är tvingande. 11

14 Kommunen har upprättat säkerhetsrutiner för användning av mobila enheter. Samtliga mobila enheter som läsplattor, datorer och mobiltelefoner behöver ha ett lösenord, dock kan elever välja att ta bort sitt lösenordsskydd. Utöver lösenord behöver samtliga användare skriva på en instruktion med förhållningssätt som de behöver förhålla sig till. Avseende surfplattor har pedagoger ett krav på att använda lösenord, medan elever får en PIN-kod tilldelad men kan välja att inaktivera koden. Elever har inte åtkomst till känslig data. Kommunen saknar en rutin för uppföljning på att säkerhetskrav efterlevs. Det finns hårdare krav och riktlinjer för förtroendevaldas användning av läsplattor då de hanterar sekretessbelagd information, detta regleras genom en policy, Användarvillkor för läsplattor till förtroendevalda. Förtroendevalda behöver skydda innehållet i surfplattan genom en fyrsiffrig pinkod samt automatisk utloggning efter 10 minuters inaktivitet. De behöver skriva på detta användarvillkor. Ytterligare skyddas informationen på läsplattorna genom ett dokumenthanteringssystem som kräver inloggning med hög säkerhetsnivå. Sekretessbelagda dokument skyddas per dokument och per tillfälle, separat inloggning krävs varje gång ett sekretessbelagt dokument öppnas. Kommunens IT-avdelning anser att de behöver komplettera området för informationssäkerhet kring mobila enheter med riktlinjer avseende extern lagringsmedia. IT-avdelningen har avsikten att upprätta ett dokument som reglerar hur användare får och bör använda externa lagringsmedier såsom USB-minnen eller externa hårddiskar. Det finns även ett dokument som användare behöver skriva på gällande arbete från bärbar dator som går att fjärransluta till kommunens nätverk från distans och därmed få åtkomst till mappstrukturer och verksamhetssystem. Användare som har denna åtkomstbehörighet behöver beroende på verksamhetskrav ha kryptering på sina datorer. De behöver ha kryptering för att de har åtkomst till känslig- eller sekretessbelagd data. KPMG kommentar Ur ett informationssäkerhetsperspektiv är säkerheten främst reglerat genom avtal mellan användaren och kommunen då samtliga användare av mobila enheter behöver skriva på användarvillkor. Säkerheten för förtroendevalda som hanterar känslig data är hårdare då de har krypterade datorer och en extra säkerhet kring sekretessbelagd information. 12

15 9. Slutsatser och rekommendationer KPMG kan genom granskningen fastställa att det saknas vissa riktlinjer för att säkerställa att rutiner kring informationssäkerhet, med bäring på ny IT-teknisk utveckling, är implementerade i kommunen. Kommunen arbetar aktivt med frågeställningarna rapporten syftar till att besvara, dock saknas det i flertalet fall formella dokumenterade riktlinjer att använda sig av. Ett flertal dokument och riktlinjer finns på plats, dock är dessa inte fullständigt uppdaterade och är därmed delvis inaktuella. Kommunen har en informationssäkerhetspolicy, den har dock inte uppdaterats sedan Risken med att inte ha uppdaterade och aktuella styrande dokument som behandlar informationssäkerhet innebär en risk att det inte tas hänsyn till nya säkerhetsaspekter. Risk- och sårbarhetsanalysen för skolverksamheten identifierade att det saknas utbildning inom informationssäkerhet. Då det inte är möjligt att styra användare fullt ut genom systemmässiga begränsningar så fyller policydirektiven en viktig funktion i att styra användare genom direktiv med vad som är tillåtet och inte tillåtet. Användare är därmed främst styrda genom policys och riktlinjer, vilket innebär att det är väldigt viktigt att samtliga användare får samma utbildning och grundnivå i informationssäkerhet. Detta i syfte att säkerställa att användare inte gör egna subjektiva och mindre lämpliga bedömningar. Vid upphandlingar av molntjänster tar kommunen hänsyn till viktiga områden, såsom analyser, riskhantering och kravspecifikationer. Det finns en checklista som skall användas vid upphandlingar av nya verksamhetssystem, den är dock inte särskilt detaljerad utan innehåller främst riktlinjer och tar inte hänsyn till specifika molntjänster. Kommunen för ofta en dialog med tjänsteleverantören där iakttagelser utreds, det är emellertid ingen kravställning vid upphandlingar. Kommunen analyserar och utreder molntjänster vid upphandlingar, det saknas dock riktlinjer för hur utvärderingarna skall gå till, likaså saknas det krav på löpande revidering av tjänsteleverantören. Rättsliga överväganden görs alltid i samband med upphandlingar, regelverk som offentlighetsprincipen, arkivlagstiftningen och personuppgiftslagen är exempel på lagstiftningar som tas i beaktande. Riskanalyser genomförs inte alltid vid upphandlingar, det saknas ett krav på att det alltid ska genomföras. Enligt kommunen ska riskanalyser genomföras vid framtida upphandlingar av molntjänster. I nuläget finns inga beslut på vilka kontroller som ska utföras vid granskningar av tjänsteleverantörer. Risker med att inte kravställa tjänsteleverantörer är att oklarheter kan inträffa vid oförutsedda händelser. Det är genom tydliga avtal och kontrollfrågor det är möjligt att säkerställa att två parter är överens om omfånget kring tjänsteleveransen. Det finns alltid en inbyggd risk att oklarheter uppstår när ena parten inte har tydliga riktlinjer kring kravställningar i en inköpsprocess. Det saknas en rutin och det saknas kravställningar kring att kommunen ska genomföra löpande revidering av tjänster. Kommunen genomför ingen löpande uppföljning av de tjänster som leverantörer levererar, utan det görs främst sporadiskt utan standardiserade riktlinjer. Det genomförs granskningar av både molntjänster och tjänsteleverantörer, de utförs dock inte på ett standardiserat sätt. Det saknas standardiserade rutiner och riktlinjer för att på ett enhetligt sätt kontrollera leverantörer av molntjänster. 13

16 Kommunen har etablerade rutiner implementerade för åtkomst- och behörighetstilldelning. Ett flertal personer behöver aktiveras i processen, målsättningen är att processen ska bli generisk och automatiseras med ett system för användar- och behörighetsadministration. Beroende på typ av verksamhetssystem ser rutinerna för behörighetstilldelning lite olika ut. Samtliga kritiska verksamhetssystem och molnlösningar har en utsedd ansvarig som sköter användaradministrationen i respektive system. Det nya administrationsverktyget bör underlätta och effektivisera arbetet kring användar- och behörighetsadministration. Lösenordskraven för åtkomst till administratörsnätverket i kommunen inkluderar inga krav på att komplexa lösenord ska användas. Det saknas en övergripande lösenordspolicy som definierar lösenordskraven för kommunens nätverk och applikationer. Brister i konfiguration av lösenord innebär en risk för olämplig åtkomst. Vid otillbörlig åtkomst försvinner även spårbarheten på genomförda aktiviteter i system. I kommunens avtal mot tjänsteleverantörer som levererar molntjänster har kommunen granskat avtalen avseende säkerhetskopiering och test av återläsning av data. Det saknas en formell dokumenterad rutin med riktlinjer som bör användas vid upphandlingar, checklistan för införskaffande av nya system tar inte tillräckligt stor hänsyn till detta område. Risker med att inte ha formella riktlinjer kring krav på säkerhetskopiering, sekretess kring datahantering och test av återläsning av säkerhetskopierad data innebär att skyddet kring informationstillgångar kan äventyras. Informationssäkerheten kring mobila enheter är främst reglerat genom avtal mellan användare och kommunenen. Det finns användarinstruktioner och användarvillkor som användare behöver godkänna och som reglerar vad de får göra. Användarinstruktionerna är inte uppdaterade på flertalet år. Risker associerade med icke uppdaterade och aktuella styrande dokument som användarinstruktioner innebär en risk att det inte tas hänsyn till nya säkerhetsaspekter och teknik som finns tillgänglig. 9.1 Iakttagelser och rekommendationer Nedan följer de iakttagelser KPMG identifierat i granskningen. Iakttagelserna är sorterade efter inbördes ordning utifrån de punkter vi anser att kommunen behöver prioritera och åtgärda först. Under varje iakttagelse finns KPMGs rekommendationer på vilka förbättringar som kan utföras. Ytterligare har KPMG lagt till övriga förbättringsområden där iakttagelserna inte anses vara lika kritiska. 14

17 9.1.1 Väsentliga iakttagelser Nedan följer de tre iakttagelser KPMG anser vara mest kritiska. KPMG har formulerat rekommendationer med vad vi anser vara lämpliga förbättringsåtgärder. 1. Formella rutiner saknas vid upphandlingar av molntjänster - KPMG rekommenderar kommunen att stärka rutinerna kring inköp och upphandling genom att formalisera och standardisera riktlinjer för upphandlingar av verksamhetssystem inkluderat specifika frågeställningar som härleds från molntjänster. Ytterligare kan en checklista som tar hänsyn till ovan nämnda områden upprättas som en guide i syfte att säkerställa att samtliga viktiga aspekter vid upphandlingar av molntjänster tas i beaktande. - KPMG rekommenderar att en rutin implementeras för att genomföra risk- och sårbarhetsanalyser vid upphandlingar av molntjänster. Vid framtida upphandlingar bör kommunen säkerställa att molntjänsten som upphandlas ligger i linje med informationssäkerhetspolicyns krav och riktlinjer. - KPMG rekommenderar kommunen att formalisera standardiserade rutiner för hur kravställning kring kontinuerlig kontroll av molntjänstleverantörer ska se ut. Detta bör inkluderas i upphandlingsförfarandet. - KPMG rekommenderar kommunen att upprätta tydliga rutiner för hur kravställning ska se ut kring hur data och information i en molntjänst ska raderas. Detta är extra viktigt avseende sekretessbelagd information, både ur ett intern och ett externt perspektiv. Kommunen bör även säkerställa att riktlinjer kring kravställning avseende kryptering av data säkerställs. 2. Informationssäkerhetspolicyn har inte uppdaterats sedan KPMG rekommenderar kommunen att se över och uppdatera den befintliga informationssäkerhetspolicyn, policydokument och säkerhetsinstruktioner i syfte att säkerställa att dessa är aktuella och anpassade för nya IT-tekniska lösningar. - KPMG rekommenderar att kommunen implementerar en strategi för kontinuerlig utbildning inom informationssäkerhet som inkluderar utmaningar som uppstår i och med ny IT-teknisk utveckling. 3. Brister kring driftrelaterade rutiner för molntjänster - KPMG rekommenderar kommunen att formalisera riktlinjer som ska tas i beaktande som kravställning vid varje upphandling. Dokumentet bör vara detaljerat och syfta till att säkerställa att kommunens data skyddas och går att återställa. 15

18 9.1.2 Övriga förbättringsområden KPMG har noterat följande ytterligare iakttagelser som kan utgöra förbättringsområden. 4. Svagheter i lösenordspolicy - KPMG rekommenderar att kommunen implementerar en formell lösenordspolicy som definierar krav på lösenords utformning i kommunens nätverk, applikationer, verksamhetssystem och molntjänster. KPMG rekommenderar att lösenord till nätverk och kritiska verksamhetssystem ska bestå av minst sex tecken, innehålla komplexitet samt bytas minst var 90:e dag. 5. Informationssäkerhet kring mobila enheter - KPMG rekommenderar kommunen att uppdatera befintliga användarvillkor kring mobila enheter till en standard som är acceptabel med dagens teknik. Användarvillkoren ska definiera informationssäkerhetskrav användare av mobila enheter skall efterleva. KPMG, som ovan Jenny Johansson IT-revisor Emil Larsson IT-revisor 16