Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Relevanta dokument
Cyber security Intrångsgranskning. Danderyds kommun

Granskning av intern IT - säkerhet. Juni 2017

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Sammanträdesdatum Arbetsutskott (1) 168 Dnr KS/2017:241. Granskning av IT-säkerhet Mjölby 1.0

Håbo kommuns förtroendevalda revisorer

Granskning av räddningstjänstens ITverksamhet

Vilhelmina kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

Sollefteå kommun. Kontroll, insyn och tillsyn av externa utförare - Övergripande granskning. Anneth Nyqvist Certifierad kommunal revisor

Producentansvar ut ett redovisningsperspektiv När ska en skuld kopplad till WEEE-direktivet redovisas?

Öppna data Nytta och utmaningar för verksamheten

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest

Koll på kostnaderna OPS och livscykeltänk

Skapa handlingsfrihet och värde inför en kommande exit

Energiskattefrågor vid vindkraftsproduktion 22 mars 2012

Offertförslag Vårdreformen i Finland (SOTE) konsekvenser för Ålands kommuner

Kunskapsdagen 2018 Civilrätt för dig som företagare och privatperson

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Ombildning av enskild näringsverksamhet till AB

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Öppna data Offentlighetsprincipen för det 21:a århundradet

Sundsvalls kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Ombildning av enskild näringsverksamhet till AB

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

E-förvaltning under lupp Offentlig sektors högsta chefers syn på e-förvaltning

Skattefrågor m.m. vid vindkraftsproduktion 31 mars 2015

Framtida skattesystem för biodrivmedel?

Risker för korruption och oegentligheter vid stora investeringar

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

IT-säkerhet Internt intrångstest

Granskning av IT-säkerhet - svar

Lösenordsregelverk för Karolinska Institutet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Utvärdering av Caught by Umeå Kulturhuvudstadsåret mars 2014

IFRS 16 Leases IFRS Symposium

Granskning av IT. Sunne kommun

Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs?

Översyn av IT-verksamheten

Din personlig cybersäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Säkra trådlösa nät - praktiska råd och erfarenheter

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy för Ånge kommun

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

KPMG Secure File Transfer Handledning

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Övergripande granskning IT-driften

6. Revisionsrapport om uppföljande granskning av IT-verksamheten och informationssäkerhet i Västerviks kommun Dnr 2017/67-007

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy inom Stockholms läns landsting

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Riktlinjer för IT-säkerhet i Halmstads kommun

ISA Informationssäkerhetsavdelningen

Jämtlands Gymnasieförbund

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Granskning av integrationoch flykting-mottagande. Sunne kommun

Leksands kommun Kommunrevisionen. Kommunstyrelsen. Revisionsrapport

Utvärdering av Förskola i förändring. Slutrapport, oktober 2012

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revisionsplan 2015 Sollefteå kommun

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Intern kontroll och riskbedömningar. Strömsunds kommun

Privattandläkarna. Erbjudande till medlemmar Redovisningstjänster. För mer information kontakta

Västervik Miljö & Energi AB. 18 augusti Torbjörn Bengtsson & Sofia Josefsson

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Granskning IT-säkerhet - hälsokontroll cyber security

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

FÖRHINDRA DATORINTRÅNG!

F6 Exchange EC Utbildning AB

Upplands-Bro kommun. Uppföljning av projekt inom lekmannarevisionen Mats Lundberg

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Eslövs kommuns revisorer

Säkerhet och förtroende

Din guide till en säkrare kommunikation

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Sjunet standardregelverk för informationssäkerhet

Kommittén för God revisors- och revisionssed 2015/2016. PwC

Ansvarsutövande Gemensam nämnd för drift av personalsystem

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Vägen mot en likvärdig skola leda och hantera till likvärdig skola november

DIG IN TO Nätverkssäkerhet

GDPR. General Data Protection Regulation

Informationssäkerhetspolicy för Katrineholms kommun

Användarhandbok. Trio Visit Web. Trio Enterprise 4.1

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Transkript:

Söderhamn kommun Granskning av intern ITsäkerhet Juni 2017

1. Bakgrund och syfte 2

Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder och fasta fullmäktigeberedningar. Kommunstyrelse och facknämnder ska förvalta och genomföra verksamheten i enlighet med fullmäktiges uppdrag, lagar och föreskrifter. För att fullgöra uppdraget måste respektive organ bygga upp system och verktyg för ledning, styrning, uppföljning, kontroll och rapportering samt säkerställa att dessa verktyg tillämpas på avsett sätt. En bristfällig styrning och kontroll kan riskera att verksamheten inte bedrivs och utvecklas på avsett sätt. Revisorerna har uppmärksammat att risker och hot från det framväxande digitala landskapet, cyberrisker, får ökande uppmärksamhet från både företag och myndigheter. Detta främst orsakat av de senaste årens snabba digitala utveckling med följande exponering mot Internet samt ökad användning av smartphones och andra bärbara enheter hos medarbetare, både privat och i yrkeslivet. Ökad aktivitet bland kriminella och andra antagonistiska aktörer bidrar också starkt till den växande hotbilden. Man har från såväl näringsliv som offentlig sektor insett att den hot- och riskbild som växer fram behöver tolkas och göras begriplig så att relevanta och balanserade motåtgärder kan vidtas. I grund och botten handlar det om behovet att skydda sig mot angripare som oavbrutet arbetar för att hitta nya vägar att stjäla, förstöra eller på annat sätt manipulera informationstillgångar eller informationsinfrastruktur. Revisorerna har i sin riskanalys för 2017 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillfredsställande gällande obehörigt intrång och har därför gett ett uppdrag att granska området. 3

2. Syfte och revisionsfråga 4

Syfte och revisionsfråga Har kommunstyrelsen säkerställt att Söderhamn kommuns nuvarande tekniska ITsäkerhet är tillräcklig och tillfredsställande för att reducera risker för obehörigt intrång till en acceptabel nivå? Kontrollfrågor Hur upptäcks en eventuell attack och hanteras icke önskvärda incidenter på ett ändamålsenligt sätt? Hur är säkerheten avseende intrång av extern och intern aktör? Finns det styrande dokument, såsom policy och riktlinjer för IT-säkerhet? 5

3. Granskningsmetod 6

Intern och extern penetrationstest En teknisk säkerhetsgranskning är ett sätt att testa IT-säkerheten genom att utföra realistiska attacker mot verkliga system. För att uppnå hög kvalitet och effektivitet i arbetet, arbetar med scenarion för olika typer av realistiska tester. Ett scenario innehåller hot, tillvägagångssätt och mål. Scenario 1 Intern teknisk säkerhetsgranskning En person utan behörighet till Söderhamn kommuns/söderhamn näras IT-system får fysisk tillgång till det interna nätverket. Personen kartlägger nätverket och attackerar viktiga interna system. Målet är att få tillgång till och kunna ändra information, alternativt att störa systemens tillgänglighet. Scenario 2 Externa tester via Internet En extern hacker, utan djupare kunskaper om Söderhamn kommun, kartlägger organisationens närvaro på Internet. Målet är att bryta sig in i intressanta system exponerade mot Internet. 7

Genomförande Omfattning Testerna genomförs utan förkunskap om hur miljön ser ut (så kallad black box testning). Informationsinsamling Ett flertal verktyg användes inledningsvis för att kartlägga resurser på Söderhamn kommuns nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Dessutom samlades information in från publika källor, så som kommunens hemsida, för att bistå vid de senare intrångsförsöken. Intrångsförsök Intrångsförsök gjordes för att påvisa att de potentiella säkerhetsbristerna som identifierades under informationsinsamlingen var reella sårbarheter. 8

Dokumentgranskning Genom att begära tillgång till IT-relaterade styrdokument från Söderhamn Nära får en bild av vad som finns. genomför en övergripande genomgång av tillgänglig dokumentation för att få en uppfattning om dokumentationen är uppdaterad och löpande revideras enligt god praxis. 9

4. Resultat av penetrationstesten 10

Intern och extern penetrationstest Intrångsförsök genomfördes och sårbarheter identifierades under båda den interna och den externa penetrationstesten. Hur är säkerheten avseende intrång av extern och intern aktör? Vid test av den externt exponerade delen av IT-miljön identifierades webbapplikationer med svag autentisering, flera av dessa visade sig använda Active Directory (AD) för inloggning. Den svaga autentiseringen i kombination med den externa exponeringen samt att det saknas utelåsningsmekanismer möjliggjorde att kunde genomföra en lösenordsattack och på så sätt gissa till sig användarnamn och lösenord för flera konton. Vid test av den interna miljön identifierades avsaknad av önskvärda skyddsmekanismer för nätverksåtkomst, samt segmentering av nätverken. Den bristfälliga nätverkssegmenteringen gjorde att utan svårigheter kunde nå kommunens olika ITresurser. Trots att en stor mängd loggar bör ha genererats i övervakningsverktyg, vilket bör ha orsakat larm, om att en intern attack pågick, såg inga tecken på respons från IT-avdelningen. 11

Intern och extern penetrationstest (forts.) Resultatet av penetrationstesten resulterade i ett antal sårbarheter: Hög risk - 13 st., varav flera fanns i upp till 18 system Medel risk - 6 st., varav flera fanns i upp till 22 system Låg risk - 0 st. Information - 0 st. Se bilaga 1 för närmare beskrivning och riskgradering. 12

Intern och extern penetrationstest (forts.) Exempel på interna sårbarheter: Genomsökning av webbapplikation. Vid säkerhetsgranskningen påträffades en webbapplikation kallad Söderhamn NÄRA funktionsnät. Applikationen låter användaren göra databasanrop via webbgränssnittet vilket resulterar i att en oautentiserad användare får åtkomst till stora mängder data. Genom att efterfråga kunder som gjort depositioner via gränssnittet kunde till exempel 1155 kunders personnummer tillskansas. Genom att söka på specialtecknet - svarade applikationen med samtliga poster. Åtkomst till fildelningsytor. Ett vanligt användarkonto har för höga rättigheter till filservrarna. Genom att söka igenom filservrarna kunde vi identifiera filer som tillhör ekonomisystem, dessa filer innehöll bland annat löneutbetalningar med personuppgifter. Vidare påträffades inskannade dokument från skrivarna samt flertalet konfigurationsfiler. Dessa filer kan avslöja information om tjänster som körs på systemet och eventuellt även innehålla lösenord och annan känslig information 13

Intern och extern penetrationstest (forts.) Avsaknad av hårddiskkryptering. De Windows-klienter som granskades under arbetet saknade hårddiskkryptering. Om en angripare får fysisk åtkomst till en dator utan hårddiskkryptering kan denne enkelt skapa egna lokala administratörskonton samt hämta ut lösenordshashar från datorn. Detta möjliggör för en angripare att använda lösenordshashar för att logga på andra Windows-klienter som har samma lokala administratörskonto och lösenord. Dessutom riskeras att känslig information hamnar i orätta händer om en dator exempelvis glöms på en buss, blir stulen eller liknande. MongoDB kräver ingen autentisering. Den instans av MongoDB som används på systemet kräver ingen autentisering, detta möjliggör för en oautentiserad angripare att lägga till, ta bort, eller förvanska information som finns i databasen. Det ger även en angripare tillgång till information om systemet som instansen körs på. 14

Intern och extern penetrationstest (forts.) Exempel på externa sårbarheter: Exchange Web Service. Genom att genomföra en Dictionary attack mot Exchange Web Service kunde gissa sig till ca 12 konton i BOLAG och ca 130 konton i ADMIN-domänen som hade XXXXXX som lösenord. kunde logga in på e- postkontot för dessa användare och komma åt alla deras e-postkonversationer externt från Internet. Inloggningstjänst. Inloggningsuppgifter överförs från klient till server i klartext, det innebär att uppgifterna kan avläsas om en angripare lyckas avlyssna trafiken. Resurser i DMZ. Flera externt publicerade resurser saknar önskvärda skydd som, Preauthentication i DMZ med utelåsningsmekanism för att skydda Active directory från lösenordsgissning med Bruteforce/dictionary-attacker. I BOLAG-domänen kan man göra obegränsat med inloggningsförsök, vilket leder till att man enkelt kan gissa lösenorden. 15

Intern och extern penetrationstest (forts.) hittade begränsat med kritiska sårbarheter som kunde leda till så kallade eleverade rättigheter. bedömer att detta är på grund av att man haft god rutin för att internt identifiera sårbarheter med hjälp av sårbarhetsskanner. ser även att det finns goda rutiner för uppdatering av servrar, klienter och applikationer. Det finns ett antal åtgärder som kan genomföras för att höja den totala säkerheten till en högre nivå. En av de åtgärder som skulle innebära ett utökat skydd och kunna fördröja en angripare vore att implementera en skyddsmekanism för nätverksaccess (NAC) samt dela upp nätverket så att åtkomst begränsas (nätsegmentering). Utökad segmentering av nätverk, möjligheten att kommunicera mellan dem, skulle förhindra en angripare från att enkelt nå kritiska resurser. Angreppskomplexiteten som skulle krävas för att utföra intrången i denna rapport skulle öka avsevärt samtidigt som det skulle bli svårare att undvika detektering. 16

Intern och extern penetrationstest (forts.) Användarnas klientdatorer ska inte kunna nå vilka servrar som helst. Endast de nödvändigaste portarna och resurserna bör vara tillgängliga till serversegment. Det finns sällan en god anledning till att ge användare möjligheten att ansluta till Domänkontrollanten eller till databasservrar. Databasservrar som innehåller känslig information bör skyddas ytterligare. Det bör finnas krav på autentisering mot dessa instanser. anser att man bör se över skyddet för externt publicerade resurser då det idag saknas önskvärda skyddsmekanismer för extern åtkomst vilket möjliggör att en angripare enkelt kan logga på webbmailen för befintliga användare. rekommenderar att man förbättrar möjligheten att detektera avvikande användarbeteenden genom att implementera lösningar kring detta. På så vis skulle man kunna identifiera när ett användarkonto används i ett skadligt syfte. Exempel på tillfällen då en sådan mekanism skulle kunna varna administratörer kan vara då användare loggar in från okända IP-adresser vid avvikande tider eller när de ansluter till andra resurser än vanligt. 17

5. Resultat av dokumentgranskningen 18

Resultat av dokumentgranskningen I samband med granskningen av dokumentationen har haft samtal med IT-chefen på Söderhamn Nära. Söderhamn kommun beställer IT-driften av Söderhamn Nära. Söderhamn kommun har ej ställt några krav på Söderhamn Nära när det gäller IT-dokumentation. Efter granskningen av den dokumentation som har fått ta del av är :s bedömning att Söderhamn Nära/Söderhamn kommuns IT-relaterade dokument ej håller en tillräckligt hög nivå. Samt att merparten av all relevant dokumentation saknas. IT-dokumentation är viktig och är en trygghet som en verksamhet behöver när det till exempel blir personalförändringar eller driftproblem. 19

Resultat av dokumentgranskningen (forts.) Den dokumentation som har fått ta del av saknar: Dokumentägare/ansvarig Datum Versionsnummer Versionshistorik IT-utvecklingen går i dag fort framåt och system och tjänster ändras ständigt. Det är därför viktigt att dokumentationen löpande revideras för att vara det stöd som det är tänkt att vara. :s rekommendation är att dokumentationen revideras var tolfte månad. 20

Resultat av dokumentgranskningen (forts.) Det saknas, eller så har inte fått ta del av, en mängd viktiga styrdokument och dokument som ska användas i samband med en kris, incident eller vanlig drift. Exempel på dokument som saknas är: IT-plan Disaster recovery-plan Incidenthanteringsplan Policy/riktlinje för nätverksövervakning Drifthandbok Service Level Agreement (SLA) Rollbeskrivningar och ansvarsfördelning Policy och procedurer för hantering av hård- och mjukvara Sårbarhetsplan 21

Resultat av dokumentgranskningen (forts.) :s rekommendation är att Söderhamn kommun ställer krav på Söderhamn Nära vad det gäller dokumentation, samt att man inför återkommande kontroller för att säkerställa att dokumentationen är på plats och är återkommande reviderad. rekommenderar också att Söderhamn Nära gör en kraftansamling och inventerar sin dokumentation, uppdaterar samtlig dokumentation med ägare, datum, versionsnummer samt versionshistorik. Inför årlig revidering av all IT-relaterad dokumentation. Skapar all nödvändig dokumentation som i dag saknas. rekommenderar att revisionen gör en återkommande kontroll över dokumentationsläget om ett år för att säkerställa att ovanstående har åtgärdats. Se bilaga 2 för förslag till genomgång av informationshantering och uppdatering av dokumentation. 22

6. Bilaga 1 23

Riskgradering Gradering Hög Medel Låg Information Beskrivning En sårbarhet med hög risk är något man bör åtgärda omedelbart. Dessa sårbarheter är relativt lätta för en angripare att utnyttja och kan förse denne med full access till de berörda systemen. En sårbarhet med medel risk är oftast svårare att utnyttja och ger inte samma tillgång till det drabbade systemet. En sårbarhet med låg risk ger ofta information till en angripare som kan hjälpa denne i kartläggningen inför en attack. Dessa bör åtgärdas i mån av tid, men är inte lika kritiska som övriga brister. En teknisk eller administrativ brist som bör åtgärdas, eller ett förslag på förbättring. 24

7. Bilaga 2 25

Förslag till genomgång av informationshantering och uppdatering av dokumentation 2. Skapa övergripande standard för organisationens informationshantering Standarden beskriver vad olika dokumenttyper ska innehålla, exempelvis: Versionshantering Dokumentansvar Revisonscykel 3. Processbeskrivning för hur dokumentation ska skapas, underhållas och avvecklas Inom respektive ansvarsområde upprättas de rutiner som är nödvändiga för att leva upp till organisationens krav. Exempelvis hur kvalitetsgranskning skall utföras eller hur fastställande av dokument av olika typer utförs. 4. Säkerställ en god struktur Struktur för dokumentation och information måste vara lättöverskådlig och lätt att hitta i även som nyanställd. 5. Inventering av befintlig information Skapa en lista på vilken dokumentation som saknas samt vem som är ansvarig för att ta fram informationen. Gör en prioritering! 1. Identifiera ägaransvar för samtlig information Klargöra vem, dvs, vilken roll som är ansvarig för vilken dokumentation. Exempelvis IT-chef, tekniker och informationssäkerhetsansvarig. 11. Projektavslut Avsluta projekt och överlämning till linjen. 1 2 3 4 12 11 11 10. Fastställande Fastställ den information som kräver detta. 10 9 5 8 6 7 9. Granskningsförfarande Granskning och second opinion på producerad och reviderad dokumentation. 6. Tidplan Sätta en tidplan utifrån prioritering, när dokumentationen bör vara uppdaterad och reviderad. 7. Påbörja uppdatering/ revidering Påbörja det faktiska arbetet med att uppdatera informationen 8. Klassning av dokument Fastställ informationsklass, besluta om revisionscykelns intervall och ev. granskningsförfarande, etc. 26

8. Kontaktuppgifter 27

Kontaktuppgifter Niklas Ljung Projektledare niklas.ljung@pwc.com 0701 96 03 69 Ronald Binnerstedt Penetrationstestare ronald.binnerstedt@pwc.com 0766 37 61 20 2010. All rights reserved. Not for further distribution without the permission of. "" refers to the network of member firms of PricewaterhouseCoopers International Limited (IL), or, as the context requires, individual member firms of the network. Each member firm is a separate legal entity and does not act as agent of IL or any other member firm. IL does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professional judgment or bind another member firm or IL in any way.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss