Revisionsrapport Översiktlig granskning av IT-säkerheten Finspångs kommun Maj 2010 Göran Persson Lingman
Innehållsförteckning 1. SAMMANFATTANDE BEDÖMNING...3 2. INLEDNING...5 2.1 BAKGRUND...5 2.2 SYFTE...5 2.3 METOD...6 2.4 AVGRÄNSNING...6 3. IT-VERKSAMHETEN I KOMMUNEN...6 4. HANTERING AV INFORMATION...7 5. GRANSKNINGSRESULTAT...7 5.1 FINNS AKTUELLA STYRANDE OCH STÖDJANDE DOKUMENT SOM BERÖR IT-SÄKERHET OCH ÄR DESSA INFÖRDA INOM NÄMNDERNA?...7 5.2 FINNS TYDLIGT ANSVAR FÖR ATT ARBETA AKTIVT MED FRÅGOR SOM BERÖR IT-SÄKERHET?...10 5.3 FINNS BRA RUTINER FÖR ATT RAPPORTERING AV SÄKERHETSRELATERADE HÄNDELSER (INCIDENTER) OCH ÄR FÖREKOMST AV STÖRNINGAR OCH PROBLEM RIMLIGA?...13 5.4 FINNS ETT TILLRÄCKLIGT SKYDD KRING RUM SOM ANVÄNDS FÖR DATORDRIFT (FÖRHINDRA STÖRNINGAR, AVBROTT, OBEHÖRIGT TILLTRÄDE OCH STÖLD)?...16 5.5 HAR KOMMUNEN TILLFREDSSTÄLLANDE RUTINER FÖR SÄKERHETSKOPIERING?...16 5.6 HAR ANVÄNDARE TILLRÄCKLIG KUNSKAP OM HOT OCH RISKER FÖR IT-SÄKERHETEN?...17 5.7 FINNS TILLFREDSSTÄLLANDE RUTINER FÖR HANTERING AV BEHÖRIGHET OCH LÖSEN TILL GEMENSAMT NÄTVERK?...20 5.8 FINNS DET EN AVBROTTSPLAN SOM STÖD KRING ATT ÅTERSTÄLLA FUNKTIONER INOM ERFORDERLIG TID? 24 5.9 FINNS TILLFREDSSTÄLLANDE SKYDD MOT VIRUS OCH SPIONPROGRAM?...24 5.10 FINNS TILLFREDSTÄLLANDE HANTERING AV DATORER, (T.EX. TAS DE OM HAND PÅ ETT TILLFREDSTÄLLANDE SÄTT)?...25 Bilaga 1 Bilaga 2 Checklista fysiskt skydd Bedömning av förlorad tid p g a störningar och problem 2
1. Sammanfattande bedömning Vi vill sammanfatta granskningen med att flera av de kontroller som vi genomfört varit tillfredställande. Dock har vi i granskningen funnit brister och viktiga förbättringsområden. Vi konstaterar att inom flera områden där vi uppmärksammat brister så pågår ett förbättringsarbete. Nedan sammanfattas bedömningar och våra förslag till förbättringar. Vi konstaterar att det inom kommunens finns ett flertal aktuella dokument som på olika sätt berör IT-säkerhetsområdet. Dokumenten anger t.ex. ansvar kring IT-hanteringen. Dokumenten är idag inte tillräckligt införda inom verksamheterna vilket är otillfredsställande. Kring detta pågår dock ett införandearbete vilket är positivt. Enligt vår uppfattning är det viktigt att IT-säkerhetspolicyn fastställs av kommunstyrelsen. Vår bedömning är att rollen som övergripande IT/informationssäkerhetsansvarig inte är tillräckligt tydliggjord. Ökad tydlighet krävs t ex hur arbetet med information och uppföljning mot verksamheterna ska bedrivas, vad det är för frågor som förvaltningsledningar och kommunstyrelse behöver få återkopplade samt på vilket sätt rapportering ska ske. Det är viktigt att kommunstyrelsen säkerställer att det genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen i enlighet med det arbetet som pågår och de intentioner som finns i upprättade dokument. Vi föreslår att det sker en översyn kring hur IT-säkerhetsrelaterade dokument och information kring området ska kommuniceras till ansvariga och användare. Intranätet bör vara ett bra sätt för detta men vi har i vår granskning uppmärksammat att många användare sannolikt inte använder intranätet i enlighet med ansvarigas intentioner. Utgångspunkten i översynen bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Svaren från användare indikerar att det finns IT-relaterade problem i verksamheten som sannolikt påverkar verksamheternas effektivitet och säkerhet negativt. Det är viktigt att det analyseras närmare vilka konsekvenser detta ger för verksamheterna och vad som kan vara orsaken. Detta är viktigt för att kunna åtgärda och förebygga samt utgöra underlag för uppföljning och resurstilldelning. I detta arbete bör underlag från ärendehanteringssystemet kunna utgöra ett ökat stöd. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens servrar och IT-system. Skriftliga regler och rutiner bör därefter tas fram. 3
Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Det är viktigt att det säkerställs att anställda inom kommunen är medvetna om att ITpersonal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom verksamheterna sker en översyn över rutiner och tekniken kring utskrifter. Detta för att säkerställa att utskrifter inte kan nås av obehöriga. Vi ser ett behov av att det sker en översyn kring hur skärmsläckare används. Här föreslår vi att skärmsläckare slås på med automatik och därefter bör lösenord krävas för att få åtkomst på nytt. Vi ser ett behov av regelbundna säkerhetsrelaterade utbildningar i kommunen. Här är det viktigt att all personal deltar i de utbildningsaktiviteter som bedöms vara generella och obligatoriska. Analyser för att identifiera följderna av eventuella katastrofer eller andra längre avbrott och störningar bör genomföras inom verksamheterna. En avbrottsplan innehållande åtgärder och ansvar behöver därefter upprättas. Vi konstaterar att detta beaktas i det pågående arbetet kring BITS. Det är viktigt att det sker systematiska tester kring återläsning av backuper. Rutiner kring detta bör ses över. 4
2. Inledning 2.1 Bakgrund Kommunens revisorer har gett Komrev inom PricewaterhouseCoopers i uppdrag att genomföra en översiktlig granskning av kommunens IT/informationssäkerhet. Med begreppet IT menas informationsteknik som innefattar teknik för elektronisk framställning, lagring, överföring och presentation av information. Tekniken kan bestå av hårdvara, nät, kommunikation och programvaror av olika slag. Vår definition av IT-säkerhet är alla åtgärder som används för att skydda och säkerställa åtkomsten av information samt att interna och externa regelverk följs. Betydelsen av IT ökar allt mer inom kommunens olika verksamhetsområden och förändringar sker kontinuerligt. Kommunen hanterar många känsliga uppgifter. Brister i säkerheten kan ge stora konsekvenser för såväl kommunen som för enskilda personer. 2.2 Syfte Granskningen syftar till att översiktligt granska kommunens IT-säkerhet (informationssäkerhet). Finns förutsättningar för en god IT/informationssäkerhet inom kommunen? Följande områden kontrolleras översiktligt Finns aktuella styrande och stödjande dokument? Finns tydligt ansvar för att arbeta aktivt med IT-säkerhetsfrågor? Finns ett tillräckligt skydd kring rum som används för datordrift? Finns tillfredställande rutiner kring säkerhetskopiering? Har användarna kännedom kring frågor som berör IT-säkerhet? Finns tillfredställande rutiner för att ta hand om problem från användare? Finns tillfredställande rutiner för hantering av behörighet till gemensamt nätverk? Finns avbrottsplan? Finns tillräckligt skydd mot virus? 5
2.3 Metod Vi har intervjuat ansvariga tjänstemän vid IT-funktionen intervjuat ansvariga hos IT-leverantören (Finet) granskat dokument som berör IT-säkerhet i kommunen ställt frågor till användare via ett webbaserat frågeformulär (239 användare besvarade formuläret) genomfört en fysisk besiktning av central datorhall och det rum som används för backuphantering. Under arbetet har det gjorts kontinuerliga avstämningar med ansvariga kring iakttagelser och bedömningar. 2.4 Avgränsning Granskningen omfattar de kontrollområden som redovisas i rapporten. Granskningsobjektet är kommunstyrelsen som har det övergripande ansvaret för IT inom kommunen. Vissa frågeställningar kring säkerheten i separata system är undantagna (t ex att systemen loggar olika händelser eller att anställda har rätt behörigheter till systemens olika uppgifter, t ex får ändra, får läsa, eller att systemens egna kontrollfunktioner är korrekta). Dock berörs förutsättningar kring en god säkerhet i respektive system t.ex. kring att roller och ansvarsfördelning finns, att aktiviteter sker för att säkerställa säkerheten, att det övergripande skyddet kring systemen är tillräckliga. 3. IT-verksamheten i kommunen IT-driften inom kommunen sköts i huvudsak av extern leverantör (Finet som är ett kommunalt bolag). I rapporten kommer Finet att på vissa ställen i rapporten benämnas ITleverantören. Kommunens helpdesk hanteras av IT-leverantören (Finet). Inom kommunen finns en IT-funktion som har övergripande ansvar kring för kommunens IT-hantering. ITfunktionen arbetar bl. a. med att stödja verksamheterna att vara kravställare mot Finet. ITfunktionen består av tre personer. Kommundirektören inom kommunen är ansvarig tjänsteman för IT-funktionen. För de viktigaste systemen finns utsedda systemförvaltare. Personal som arbetar med generella IT-relaterade frågor finns även inom utbildningsverksamheten. 6
4. Hantering av information I kommunens centrala serverrum hanteras viktig och känslig information såsom t ex: information inom familjeomsorg, äldreomsorg, skola och barnomsorg redovisningsinformation internet (hemsidor), intranet och mailsystem. Windows och Office används i huvudsak på alla datorer inom den kommunala administrationen. Lagring av egna upprättade dokument ska enligt anvisningar ske på centrala servrar (d.v.s. de dokument som användare arbetar med när det gäller ord och text, kalkyler och presentationer). 5. Granskningsresultat Nedan följer de olika kontrollmoment vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen och våra bedömningar, kommentarer och i vissa fall förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. Vid vissa frågor visas en graf över användarsvar. Användarna svarade hur väl ett påstående stämmer. Nedan visas hur de olika färgerna ska tolkas. Värden till vänster innebär inte alls och till viss del. Värden till höger innebär i huvudsak eller helt. I grafiken liggande staplar har antalet svar införts. 5.1 Finns aktuella styrande och stödjande dokument som berör IT-säkerhet och är dessa införda inom nämnderna? Iakttagelser Vi har tagit del av följande styrande och stödjande i kommunen. Säkerhetsinstruktion drift. Dokumentet innehåller regler och anvisningar kring att objekt i infrastrukturen ska förtecknas. Vem som ansvarar för olika IT-relaterade frågor t ex ITdriften. Policys kring hantering av incidenter som uppstår, t ex vart ska säkerhetsrelaterade problem rapporteras. 7
Säkerhetsinstruktion förvaltning. Dokumentet innehåller regler och anvisningar kring bl.a. säkerhetsutbildning, informationsklassning, behörighetskontroll, behörighetsadministration, distansarbete, tillträdesskydd. IT-säkerhetsinstruktion användare. Dokumentet anger användares ansvar kring olika typer av IT-relaterade frågor, t ex hantering av elektroniska handlingar, behörigheter, rapportering av problem och brister. Ovanstående tre dokument är från 2007. Dokumenten är fr.o.m. slutet av 2009 ersatta av en ny IT-säkerhetspolicy, se nedan. IT-Säkerhetspolicy. (Dokumentet ersätter ovanstående dokument). I dokumentet anges att det är BITS 1 som ska vara ledande i kommunens säkerhetsarbete. Dokumentet innehåller: o IT-säkerhetsinstruktion för användare o IT-säkerhetsinstruktion systemförvaltare o IT-säkerhetsinstruktion för drift. I IT-säkerhetspolicyn anges att det för varje kritiskt system ska utarbetas systemsäkerhetsplaner och avbrottsplaner för samhällsviktiga system. Det pågår ett arbete med att implementera IT-säkerhetspolicys inom kommunen. Arbetet leds av IT-funktionen. Genomgång sker med systemägare 2 och systemförvaltare 3 kring vad som ska vara deras ansvar, uppgifter och hur arbetet ska bedrivas kring systemsäkerhetsplaner. Olika underlag som stöd i systemsäkerhetsarbetet finns upprättade. Ansvariga vid IT-funktionen anger att de tidigare säkerhetsdokumenten varit bristfälligt implementerade, t ex kring ansvarigas olika uppgifter. 1 BITS, Basnivå för IT-Säkerhet. Utarbetat av krisberedskapsmyndigheten Nu ersatt av Myndigheten för samhällsskydd och beredskap. 2 För varje IT-system bör finnas en systemägare (systemansvarig tjänsteman). Systemägare skall tillvarata användarnas krav och ha det övergripande ansvaret för att IT-systemet verkligen stödjer verksamheten och verksamhetens mål. 3 Ansvarar för systemförvaltningen utifrån systemägarens direktiv avseende tillämpningen, användarnas krav och behov. Systemförvaltaren bör ha en kunskap om den verksamhet som systemet ska stödja samt övergripande kunskap om tekniken som tillämpas i systemet. 8
Att IT-säkerhetspolicyn ska gälla inom kommunen är beslutat av kommunledningsgruppen. Vi har även tagit del av nedanstående dokument: Policydokument kring Informationssäkerhet för användare. Finns på kommunens intranät och riktas till användare. Dokumentet innehåller regler och anvisningar kring användande av datorn och användning av Internet. Hänvisning sker till en detaljerad beskrivning kring vad som är viktigt att tänkta på kring lösenord. Vid nyanställning ska användare skriva på dokumentet. Alla användare fick även dokumentet hemsänt 2007. Riktlinjer kring användning av PC-nät i Finspångs kommun. Dokumentet tydliggör användares ansvar, t ex hantering av lösenord, rapportering av virus, användande av Internet. Alla användare skriver på detta dokument vid anställning. Dokumentet förvaras i personalakten. Detaljerad systemförteckning (Fortfarande ett arbetsmaterial). Dokumentet innehåller många olika uppgifter kring de system som används i kommunen t ex hur IT-systemen används i verksamheten, vilka som är systemägare. Det innehåller även prioriteringar. Hänvisningar görs till andra dokument t ex systemsäkerhetsplaner. Mall kring systemsäkerhetsplan. Mallen stödjer arbetet kring systemsäkerhetsanalyser och upprättande av systemsäkerhetsplaner för kritiska system. I vår granskning har det framkommit en osäkerhet kring hur användning av kommunens intranät sker. Detta innebär att det finns risker att information som kommuniceras via intranätet kanske inte når användare på det sätt som önskas. I vårt frågeformulär till användare ställdes frågor om användare tagit del av dokument kring IT-säkerhet samt om det är tydligt var dessa återfinns. De allra flesta anger positiva svar. Dock anger även flera användare en osäkerhet kring om de tagit del av dokument och var dessa återfinns. Grafen nedan visar svar kring frågor om IT-säkerhetsrelaterade dokument. 9
Kommentarer och rekommendationer Vi konstaterar att det inom kommunen finns ett flertal aktuella dokument som på olika sätt berör IT-säkerhetsområdet. Dokumenten är idag inte tillräckligt införda inom verksamheterna vilket är otillfredsställande. Kring detta pågår dock ett införandearbete vilket är positivt. Enligt vår uppfattning är det viktigt att IT-säkerhetspolicyn fastställs av kommunstyrelsen. Det är viktigt att kommunstyrelsen säkerställer att det genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen i enlighet med det arbetet som pågår och de intentioner som finns i upprättade dokument. Vi föreslår att det sker en översyn kring hur IT-säkerhetsrelaterade dokument och information kring området ska kommuniceras till ansvariga och användare. Intranätet bör vara ett bra sätt för detta men vi har i vår granskning uppmärksammat att många användare sannolikt inte använder intranätet i enlighet med ansvarigas intentioner. Utgångspunkten i översynen bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. 5.2 Finns tydligt ansvar för att arbeta aktivt med frågor som berör ITsäkerhet? Iakttagelser Ansvar enligt informationssäkerhetspolicyn I IT-säkerhetspolicyn anges att informationssäkerheten skall följa linjeorganisationen för varje enskilt IT-system och att verksamhetschefer är systemägare för de IT-system som stödjer den egna verksamheten. Finet är ansvariga för den tekniska infrastrukturen. Det övergripande ansvaret har utvecklingschefen som också ska utse systemägare för de ITsystem som används av fler än en förvaltning eller kommunalt bolag En förändring av ansvaret kommer att ske. Utvecklingschef ska ersättas av administrativ chef. Systemägare beslutar i samråd med IT-funktionen och berörda förvaltningar och bolagschefer vilka IT-system som är samhällsviktiga och/eller verksamhetskritiska. Systemägare för dessa system ansvarar för att en systemsäkerhetsplan upprättas. Samtliga IT-system skall vara identifierade samt förtecknade och systemägare ska vara utsedd för varje system. 10
Kommunens IT-funktion har ett ansvar för samordning av förvaltningarnas IT-säkerhet samt den övergripande uppföljningen i kommunen. Andra iakttagelser Inom IT-funktionen har man gjort en uppdelning kring ansvar för att bedriva ett säkerhetsarbete för de kritiska systemen. De vi intervjuat ser dock ett behov av att tydliggöra rollen som övergripande informationssäkerhetsansvarig t.ex. kring befogenheter. Avseende uppföljning kring informationssäkerhet anges att detta varit eftersatt tidigare. Anledningar som anges är resursbrist samt att de tidigare säkerhetsdokumenten varit otillräckligt införda. Krav på prioriteringar och servicenivåer för olika tjänster tydliggörs inte i några dokument t ex via SLA 4. Ett arbete kring detta är planerat efter att systemsäkerhetsanalyser genomförts. Detta arbete ska utgöra en grund i tydliggörande av kraven på IT-leverantören. En helpdeskfunktion finns dit användare kan vända sig för hjälp eller för att meddela olika typer av incidenter. Se mer kring funktionen i avsnitt 4.3. Det finns bra rutiner för rapportering av säkerhetsrelaterade händelser. Enkäten till användare De flesta som besvarade enkäten uppger att ansvaret kring IT-säkerhetsfrågor är tydligt. Dock har flera användare svarat att de upplever att finns en otydlighet. Grafen nedan visar frågor kring roller och ansvar 4 Service Level Agreement. Ett SLA kan beskrivas som en överenskommelse om tjänster och kvalité mellan verksamheterna och ITavdelningen. 11
Ett urval av kommentarer visas nedan. Vet ej var jag ska söka fram vem som har ansvar för vad. Är inte bevandrad i IT världens fackspråk och förstår därför inte alltid innebörden i dokumenten. Osäker på vilka roller de interna resurserna egentligen har. P.g.a. ändrad organisation är det lite oklart om man har frågor kan de bli hängande i luften Ibland fungerar det alldeles utmärkt men ibland känns det som om ärenden bara "försvinner" och man måste själv påminna. Det tar ofta väldigt lång tid innan åtgärd. Tendensen är dock till det bättre Det handlar om patientsäkerhet och tid som i förlängningen betyder att de som är beroende av kommunens hälso- och sjukvård får vänta på åtgärder längre än nödvändigt. Vid störningar på personal och elevdatorer finns inga bra rutiner för att åtgärda datorer som användaren inte sitter vid större delen av tiden. Det tar onödigt lång tid att åtgärda eftersom ingen finns på plats att hantera ev. frågor. Rutiner för detta måste skapas gemensamt av användare och IT personal. Kommentarer och rekommendationer Vi uppfattar att det i styrdokumenten i huvudsak finns en tydlig roll- och ansvarsfördelning för de uppgifter som ska hanteras. Dokumenten är inte tillräckligt införda i kommunen och det finns därför en otydlighet i praktiken. Vi konstaterar här att det pågår ett positivt förbättringsarbete i syfte att tydliggöra förvaltningarnas och IT-leverantörens ansvar. Se även avsnitt 4.1 kring styrande dokument. Vår bedömning är att rollen som övergripande IT/informationssäkerhetsansvarig inte är tillräckligt tydliggjord. Ökad tydlighet krävs t ex om hur arbetet med information och uppföljning mot verksamheterna ska bedrivas, vad det är för frågor som förvaltningsledningar och kommunstyrelse behöver få återkopplade samt på vilket sätt denna rapportering ska ske. I detta sammanhang vill vi poängtera att kommunstyrelsen bör ställa sig bakom IT-säkerhetspolicyn via ett beslut. 12
5.3 Finns bra rutiner för att rapportering av säkerhetsrelaterade händelser (incidenter) och är förekomst av störningar och problem rimliga? Iakttagelser Inom kommunens finns en helpdeskfunktion (vid IT-leverantören). Vid fel och störningar kring IT-arbetsplatsen ska användare anmäla detta till funktionen. Anvisningar kring detta finns intagna i upprättade dokument. Ett telefonnummer finns för anmälan. Funktionen finns endast bemannad under kontorstid. Ytterligare krav kring bemanning från verksamheterna finns inte. Det finns en ärendeportal där det ständigt går att lägga in ärenden. Det går även att e-posta ärenden till helpdesk. Användare kan ange hur man bedömer prioritering (t.ex. om ärende är akut). Dokumenterade prioriteringar från verksamheterna saknas. Tydliggörande hur prioriteringar ska ske är ett område som kommer att förbättras i samband med att SLA utformas mot IT-leverantören. Ärendeflödet i kommunen är sådant att användare först ska vända sig till helpdesk. Om ärendet ska hanteras av annan vidarebefordrar helpdesk ärendet till exempelvis systemförvaltaren. Alla ärende loggas i ett ärendehanteringssystem. Här är det planerat att systemförvaltare ska kunna arbetat i samma system som IT-leverantören och helpdesk. Syftet med detta är att effektivisera ärendehantering, öka kontrollen och ge bättre underlag kring förebyggande arbete. Information som skapas kring ärendehanteringen används idag till viss del i proaktivt syfte. Kring detta anges ett förbättringsbehov, d.v.s. att i ökad grad använda informationen proaktivt. Genom att bättre analysera olika typer av ärenden kan man t.ex. få ökat stöd för att bedöma om problem är tekniska eller kompetensrelaterade. Ansvariga vi intervjuat anger att det finns ett behov av att ytterligare förbättra hur olika ärenden ska prioriteras. Som omnämnts pågår ett arbete med systemsäkerhetsanalyser. Analyserna kommer att stödja kraven på prioriteringar. Från IT-leverantören anges att rutiner för att ta hand om ärenden och lösa dem temporärt är tillfredställande. Dock påpekas att det ibland saknas tillräckliga resurser för att kunna analysera vad som är orsak till ett problem och därefter åtgärda problemet på ett korrekt sätt. ( Förstå roten till det onda.) 13
Frågor ställdes även till användare kring frågor avseende tydlighet vart man vänder sig, enkelhet att meddela störningar samt förekomst av störningar. Se grafik nedan. Ett urval av kommentarer kring ovanstående frågor Har på senare tid blivit mycket lättare och mer tillgängligt att vända sig till Finet. De har också prioriterat och löst problem ganska snabbt på vardagar. Däremot är det sämre på kvällar, nätter och helger. Eftersom vi arbetar som sjuksköterskor är det mycket viktigt att ha tillgång till adekvat uppdaterad information för att säkerställa kvalitet och säkerhet för brukare. Upplever att det i Procapitasystemet är mycket störningar och fel. I övrigt kan datorerna låsa sig och man får logga ut för att sedan gå in igen vilket upplevs frustrerande om man söker efter information Svårt att veta vart man ska vända sig på helger och kvällar när IT-delen inte fungerar. Ofta krångel med skrivare. Ibland måste jag lägga till skrivare varje dag jag loggar in. Saknar ofta program, vilket gör att datorn måste startas om och ofta löser det sig. Kanske små saker men det är frustrerande. Under en period i höstas upplevde jag det som mkt krångel med datorn, utkastad, hakade sig osv. Det tog också längre tid än idag att få hjälp. Ibland är det svårt att logga in och det tar lång tid Datorn hänger sig ofta, Procapitasystemet, mailen, intranätet, ja alla system. Det liksom fastnar och går inte att arbeta vidare. Ibland när man skriver en text, så fastnar inte 14
det man skriver förrän cirka 10 sekunder senare. Man blir ofta utslängd från Procapitasystemet och blir av med text man skrivit och det går inte att få tillbaka texten eftersom man utan förvarning blir utslängd, alltså man hinner inte spara texten man har skrivit. Långsamt och segt, utskrifter fungerar inte, datorn byter titt som tätt till annan skrivare, utslängd ur systemet då och då, ett arbetsmiljöproblem då datorn bara måste fungera men inte gör det rätt vad det är. Ofta problem med procapita, word inloggning till datorn Finns dagar vissa saker är helt borta från skrivbordet. Som t ex procapita eller skrivaren. Då blir man irriterad. Brukare som står och väntar. Men nu för tiden säger de bara. - Den där datorn!! I bland kan väntetiden för vårdtagare bli lång p.g.a. att program uppdateras eller inte nås av annan orsak. Kommentarer och rekommendationer I huvudsak är vår bedömning att det finns tillfredställande rutiner att ta hand om fel och problem från användare. Vi konstaterar även att förbättringar pågår t.ex. kring underlag för prioriteringar. Svaren från användare indikerar att det finns problem i verksamheten som sannolikt påverkar verksamheternas effektivitet och säkerhet negativt. Det är viktigt att dessa analyseras närmare. Vilka konsekvenser ger dessa för verksamheterna och vad kan vara orsaken. Detta är viktigt för att kunna åtgärda, förebygga samt utgöra underlag för uppföljning och resurstilldelning. I detta arbete bör underlag från ärende hanteringssystemet kunna utgöra ett ökat stöd. 15
5.4 Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)? Iakttagelser Datorhallen är konstruerad för ändamålet. En besiktning har genomförts av Myndigheten för samhällsskydd och beredskap (MSB). Besiktningen resulterade i ett fåtal påpekanden. Dessa är enligt uppgifter idag åtgärdade. Inom de kontroller som vi har genomfört i denna granskning har resultatet varit positivt. I bilaga 1 redovisas de kontroller vi utförde vid vår besiktning. Vi har inte kunnat ta del av dokumenterade rutiner kring hur leverantörer ska hanteras då de vistas i datorhallen eller då de på andra sätt hanterar kommunens system, t ex underlag för sekretessförbindelser. Kommentarer och rekommendationer Vår bedömning är att det utrymme som används som centralt serverrum i kommunen är tillfredställande. Se även hantering av leverantören i avsnitt 5.7 behörighetshantering. 5.5 Har kommunen tillfredsställande rutiner för säkerhetskopiering? Iakttagelser Vi har tagit del av en beskrivning kring vid vilka tillfällen olika typer av backuper tas. Varje natt tas backuper på de förändringar som skett sedan senaste kopian. Dessa backuper sparas i tre veckor. Varje helg tas backuper på allt innehåll i servrar. Dessa sparas i fyra veckor. Totala backuper förs varje vecka över på band som lagras som månads-, kvartals- och årsbackuper. Årsbackuper sparas för närvarande utan gallring. D.v.s. alla år finns kvar och det är tillsvidare planerat att fortsätta att spara årsbackuper. Avseende rutiner kring att säkerställa tillförlitlighet i årsbackuper har detta ännu inte upplevts aktuellt. Kvalitén på banden kontrolleras automatiskt av bandrobot. Alla servrar har data säkrat med s.k. RAID, som kan beskrivas som att om en hårddisk går sönder finns all data kvar och servern jobbar vidare utan avbrott. 16
Reservdiskar finns i anslutning till datorhall. Bevakning finns för att snabbt byta en disk om det inträffar fel eller om disken går sönder. Backuphantering sköts med stöd av en s.k. bandrobot. Denna finns placerad i annan huskropp väl avskiljt från serverhall. Vid vår inspektion i utrymme där backuper tas konstaterar vi att det finns en osäkerhet kring motståndskraften i väggar och tak. Tester görs genom att det kontinuerligt finns behov av olika typer av återläsning av information. Dock sker inte systematiska tester för att säkerställa att allt fungerar som avsett. Kring detta anges ett förbättringsbehov men resurser för detta finns ej för närvarande. Det pågår ett arbete med att ytterligare förbättra backuphanteringen. Dokumenterade krav från verksamheterna kring backuphantering saknas. Dokument som beskriver vilken information som hanteras i de olika systemen saknas, t.ex. vilka risker det finns kring informationen, vad som skulle hända om informationen kom i orätta händer (sekretess), förvanskades (riktighet) eller förlorades (tillgänglighet). Kommentarer och rekommendationer Vår bedömning är att rutiner avseende backuphantering i huvudsak är tillfredställande. Dock bör kraven från verksamheterna förbättras. Det är viktigt att det sker systematiska tester kring återläsning. Rutiner kring detta bör ses över. Utrymmet där backuper tas bör ses över och eventuellt förbättras. 5.6 Har användare tillräcklig kunskap om hot och risker för IT-säkerheten? Iakttagelser De ansvariga vi intervjuat uttrycker ett behov kring att ytterligare utbilda användare i grundläggande IT-kunskap och tydliggörande av de dokument som framtagits till användare. Dock sker utbildningsaktiviteter kontinuerligt t.ex. utses grupper av användare som får en utbildning och därefter i uppgift att utbilda vidare i sina respektive arbetsgrupper. Gemensamma utbildningar kring IT-säkerhet har ej skett. Ansvariga hos IT-leverantören och vid IT-funktionen ser ett behov av utarbeta en generell utbildning där även frågor kring informationssäkerhet ingår. IT-leverantören har t.ex. fått en förfrågan kring intresse av att genomföra en utbildning. 17
Som omnämnts finns flera upprättade dokument som riktas till användare. Nyanställda ska även skriva på att de tagit del av dokumenten. Som omnämnts används kommunens intranät som viktigt informationskanal. Här har vi uppmärksammat att det finns risk att många inte använder sig av intranätet. Uppföljningar av användares kunskap kring säkerhetsrelaterade frågor sker idag inte på systematiskt sätt. Som nämnts finns en helpdesk dit användare kan vända sig för hjälp eller för att meddela olika typer av störningar. Idag används de uppgifter och underlag som skapas i helpdesksystemet i liten omfattning för proaktivt arbete t.ex. kring vilka frågor och problem som kan vara kompetensrelaterade. Grafiken nedan visar ett urval av frågor som berör användares kunskap kring IT-säkerhet. Vi konstaterar att den övervägande delen av de svarande har avgett positiva svar, dock utrycker många användare en osäkerhet. Se även avsnitt 1.1 kring styrande dokument och riktlinjer där många användare är osäkra på vad som gäller och var dokumenten finns. Utbildningsbehov anges i kommentarer men i övrigt har kommentarer till svaren tyvärr varit sparsamma t.ex. kring vilka problem och konsekvenser avsaknad av kompetens ger. Grafen nedan visar frågor kring användares kompetens och stöd 18
Exempel på kommentarer: Det känns ibland svårt att veta vem man ska fråga i ärenden som inte självklart är beställningar eller fel. Kommunen har inte någon tydlig organisation kring hur användarfrågor behandlas. Har inte fått någon utbildning, har läst mig till det jag vet Har inte fått någon utbildning Behöver mer utbildning Mycket knapphändig information ges till nyanställda. saknar utbildning och tillräcklig information vid vissa förändringar Den information som har getts har enbart varit skriftlig. det ges ingen utbildning kring det som berör datoranvändandet, vilket är dåligt jag har inte varit på någon utbildning. Jag lärde mig genom arbetskamrater. Kommentarer och rekommendationer Vi ser ett behov av regelbundna säkerhetsrelaterade utbildningar i kommunen. Här är det viktigt att all personal deltar i de utbildningsaktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det finns en systematisk uppföljning av användares kunskap i säkerhetsfrågor. Många användare har i vårt svarsformulär angett att det finns kompetensrelaterade brister. Kommentarer har dock varit sparsamma. Vi föreslår att kompetensbehovet för användare inom kommunen analyseras av ansvariga för olika system och verksamheter. D.v.s. vad är det som användare och ansvariga behöver kunna för att utföra olika aktiviteter i sina IT-system och andra väsentliga IT-områden (t ex generell informationssäkerhet). 19
5.7 Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk? Iakttagelser Utdelning av ID vid nyanställning Ansvarig chef fyller i en upprättade blankett som ska användas för ändamålet. Hos ITleverantören skapas ett konto med tillfälligt lösenord. Uppgifterna översänds via ett mail till den anställdes chef som sedan tilldelar den nyanställda identiteten. En alternativ hantering som fr om hösten 2009 påbörjats är att chefen fyller i uppgifter i personalregistret (PA-systemet). Uppgifter kring nyanställning översänds till IT-leverantören med automatik. IT-leverantören meddelar ID och tillfälligt lösenord till chefen via mail. Vid påloggning första gången krävs ett byte av lösenord. Förändring av lösenord Då det krävs ett nytt lösenord ska chefen maila till IT-leverantören. Nytt tillfälligt lösenord skapas som återsänds till chefen via mail. Chefen utdelar därefter lösenordet till den anställde. Ett byte krävs efter att lösenordet används första gången. Då anställning upphör Då anställning upphör ska detta fr o m hösten 2009 anges i personalregistret. Avseende vikarier sker hanteringen via en blankett som skickas till IT-leverantören. Från IT-leverantören anges att det varit problem med att i tillräcklig tid få information kring att anställningar ska upphöra. Förändrade rutiner kommer att införas kring detta. Avseende t ex vikarier kommer slutdatum att registreras i personalsystemet redan då personen anställs. Rutinen innebär att IT-leverantör kommer att få kännedom om att personen slutar snabbare och kan därmed ta bort den anställde ur behörighetsregistret. Övriga iakttagelser Kontroller av lösenordens längd och uppbyggnad sker av behörighetssystemet. Byte av lösenord krävs genom fastställda automatiska rutiner. Loggning sker kring försök till åtkomst. Enligt uppgifter följs inte loggar upp rutinmässigt. 20
Information kring vad som är viktigt att tänka på kring lösenord finns utförligt beskrivet i ett dokument som återfinns på intranätet. I ett övergripande dokument kring informationssäkerhet sker även en hänvisning till detta. (Vad är viktigt att tänka på kring lösenord) Utbildningar i informationssäkerhet genomförs inte på något systematiskt sätt. Detta omnämns mer i avsnitt 4.6. Har användare tillräcklig kunskap om hot och risker för ITsäkerheten? Inventeringar kring att behörigheter överensstämmer med verkligheten sker ej. Kring detta anger de vi intervjuat ett förbättringsbehov t.ex. att ansvariga chefer kontrollerar de anställda mot utskrifter från behörighetsregistret. Avseende skärmsläckare som slår på med automatik så varierar detta inom kommunen. För vissa datorer saknas skärmsläckare och där det finns skärmsläckare kan användare själva att reglera åtkomsten. Flera användare har i vårt frågeformulär angett att de ser risker med att obehöriga kan ta del av känslig information vid utskrift. De nya skrivare som inköps har en teknik som innebär att användare verifierar sig vid skrivaren då de vill ha sina utskrifter. Dock finns fortfarande många gamla skrivare inom kommunen. Från IT-leverantören anges att det är verksamheternas chefer som måste bestämma om det ska krävas lösenord vid utskrift. Enligt uppgifter har vissa chefer ansett att det är onödigt. Enligt uppgifter pågår en översyn kring skrivare generellt inom kommunen IT-personal bär synliga id-handlingar. Generella anvisningar till verksamheterna att ITpersonal alltid måste identifiera sig saknas. Hemarbete förekommer. En säkerhetslösning finns för säker hantering. Lösningen har diskuterats med ansvariga. Status kring tillförlitligheten vid kommunens brandvägg har diskuterats med ansvarig vid IT-leverantören. Kontroller av tillförlitligheten av brandväggar har enligt uppgifter skett. Oberoende s.k. intrångstester sker dock ej systematiskt. Avseende åtkomst innanför brandväggen uttrycks behov kring översyn av kontroll avseende datorer som invändigt kopplas till nätverket. Då leverantörer arbetar med olika system saknas generella rutiner t ex kring sekretessförbindelser. 21
Frågor kring användare ställdes via ett webbaserat frågeformulär. Frågor och svar visas nedan. Under grafen har exempel på kommentarer infogats. Det flesta som svarat anger positiva svar. Dock anger flera att det finns risker med att utskrifter hamnar hos obehöriga samt att obehöriga kan ta del av information på skärmen och få åtkomst till datorn. Grafiken nedan visar användares svar kring behörighet Avseende problem med att dokument hamnar på fel skrivare anger intervjuade vid ITleverantören som en förklaring att det var ett fel i höstas kring styrning av dokument. Felet är enligt uppgifter åtgärdat. Avseende problem med faxar anges att detta något som är övergående då IT-funktionen arbetar aktivt för att fasa ut behovet av fax. Urval av kommentarer från användare visas nedan Utskriften kan hamna på annan skrivare än vad som är tänkt Har vid flertalet tillfällen kommit ut sekretessbelagda dokument på andra skrivare. Det förekommer att dokument går till fel skrivare. Det är också lätt att trycka på fel användare och eftersom alla inte har lösenord är detta en risk. Inte alls just nu då det har förekommit att känsligt material har hamnat lite var stans i organisationen Finns ej tillräckligt med utrymmen att ha skrivare i skyddad miljö Faxen står helt öppet där vem som helst som befinner sig på avdelningen kan läsa vilka fax som kommit (till och med externa besökare som inte är klienter). Då det finns olika 22
verksamhetsområden på avdelningen är det extra känsligt med tanke på den sekretess som råder inom individ- och familjeomsorgen Har inte skärmsläckare med lösenord. Om någon går in på mitt rum med nyckel kan de läsa. Se övriga svar när det gäller sekretess och avsaknad av lösenord och skärmsläckare. Finns fler användare upplagda än anställda. Anställda som har slutat finns kvar i systemen som aktuella. Kommentarer och rekommendationer Det är viktigt att kommunstyrelsen säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Det är viktigt att det säkerställs att anställda inom kommunen är medvetna om att ITpersonal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom verksamheterna sker en översyn över rutiner och tekniken kring utskrifter. Detta för att säkerställa att utskrifter inte kan nås av obehöriga. Vi ser ett behov av att det sker en översyn kring hur skärmsläckare används. Här föreslår vi att skärmsläckare slås på med automatik och därefter bör lösenord krävas för att få åtkomst på nytt. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens servrar och IT-system. Skriftliga regler och rutiner bör därefter tas fram. Kontrollområdet är till delar kompetensrelaterat. Se även området 4.6. Har användare tillräcklig kunskap om hot och risker för IT-säkerheten? 23
5.8 Finns det en avbrottsplan som stöd kring att återställa funktioner inom erforderlig tid? Iakttagelser Det saknas dokumenterade avbrottsplaner 5. Dessa planer är viktiga för att hantera olika avbrott och analysera konsekvenserna av dessa. En avbrottsplan behöver innehålla och beskriva vad det är för åtgärder som ska vidtas för att dels skydda sig, dels för att minimera konsekvenser vid ett avbrott. I samband med arbetet kring det omnämnda BITS-arbetet är det planerat att förbättringar kring avbrottsplanering kommer att ske. Kommentarer och rekommendationer Analyser för att identifiera följderna av eventuella katastrofer eller andra längre avbrott och störningar bör genomföras inom verksamheterna. En avbrottsplan innehållande åtgärder och ansvar behöver därefter upprättas. Vi konstaterar att detta beaktas i det pågående arbetet kring BITS. 5.9 Finns tillfredsställande skydd mot virus och spionprogram? Iakttagelser Som skydd mot virus och annan skadlig kod bedömer ansvariga att de i dagsläget har ett har ett tillräckligt system. Rutiner kring uppdatering av systemet har utarbetats tillsammans med leverantören. Skyddet har diskuterats med ansvariga. Kommentarer och rekommendationer Vi bedömer kommunens skydd mot virus som tillfredställande. Se dock avsnitt 4.10 kring användare. 5 Vad är t ex acceptabla avbrottslängder, d.v.s. efter vilken tid ett avbrott medför helt oacceptabla konsekvenser. Denna tidsgräns är av avgörande betydelse för vilka planerade åtgärder som ska vidtas t ex reservdrift. Viktigt är att bedöma storleken av konsekvenserna (t ex lindrig, allvarlig, mycket allvarlig för olika nyttjare av system samt intressenter t ex medborgare) för olika typer av avbrott samt längd på avbrottet. 24
5.10 Finns tillfredställande hantering av datorer, (t.ex. tas de om hand på ett tillfredställande sätt)? Iakttagelser Inom kommunen finns en centraliserad inköpsrutin av datorer vilket innebär att alla datorer ska hanteras via Finet. Beställning från verksamheten sker via en blankett som ska användas för ändamålet. Rättigheter att beställa utrustning har ekonomiskt ansvariga. Periodvis sker utbyte av datorer för att på så sätt säkerställa funktionaliteten. Utrustning såsom datorer förtecknas i ett inventarieregister. I registret förtecknas t ex var datorn finns. Då datorer inte ska nyttjas länge tas de omhand av leverantören av utrustningen. Vid intervjuer har det framkommit att avtal kring att hårddiskas ska raderas på ett korrekt sätt bör ses över. Det har även framkommit att förvaltningar tidigare köpt datorer vid sidan om avtalet men att tilllämpningen idag är bra. Inventering kring att inventarieregistret överensstämmer sker. Kommentarer och rekommendationer Vi bedömer att de rutiner som finns avseende inköp av datorer i huvudsak som tillfredsställande. Tydligheten i avtalet att hårddiskar måste raderas korrekt bör ses över. 25
26
Bilaga 2 Uppskattade tidsförluster p.g.a störningar kring IT-stödet 120 100 99 80 60 40 38 44 44 20 14 0 0.Vet ej 2.Jag förlorar mellan 1-3 timmar per vecka 3.Jag förlorar mellan 20 min - 1 tim per vecka 4.Jag förlorar mindre än 20 min per vecka 5.Jag upplever inte att jag förlorar tid pga avbrott och väntetider eller fel 27