Söderhamn kommun Granskning av intern ITsäkerhet Juni 2017
1. Bakgrund och syfte 2
Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder och fasta fullmäktigeberedningar. Kommunstyrelse och facknämnder ska förvalta och genomföra verksamheten i enlighet med fullmäktiges uppdrag, lagar och föreskrifter. För att fullgöra uppdraget måste respektive organ bygga upp system och verktyg för ledning, styrning, uppföljning, kontroll och rapportering samt säkerställa att dessa verktyg tillämpas på avsett sätt. En bristfällig styrning och kontroll kan riskera att verksamheten inte bedrivs och utvecklas på avsett sätt. Revisorerna har uppmärksammat att risker och hot från det framväxande digitala landskapet, cyberrisker, får ökande uppmärksamhet från både företag och myndigheter. Detta främst orsakat av de senaste årens snabba digitala utveckling med följande exponering mot Internet samt ökad användning av smartphones och andra bärbara enheter hos medarbetare, både privat och i yrkeslivet. Ökad aktivitet bland kriminella och andra antagonistiska aktörer bidrar också starkt till den växande hotbilden. Man har från såväl näringsliv som offentlig sektor insett att den hot- och riskbild som växer fram behöver tolkas och göras begriplig så att relevanta och balanserade motåtgärder kan vidtas. I grund och botten handlar det om behovet att skydda sig mot angripare som oavbrutet arbetar för att hitta nya vägar att stjäla, förstöra eller på annat sätt manipulera informationstillgångar eller informationsinfrastruktur. Revisorerna har i sin riskanalys för 2017 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillfredsställande gällande obehörigt intrång och har därför gett ett uppdrag att granska området. 3
2. Syfte och revisionsfråga 4
Syfte och revisionsfråga Har kommunstyrelsen säkerställt att Söderhamn kommuns nuvarande tekniska ITsäkerhet är tillräcklig och tillfredsställande för att reducera risker för obehörigt intrång till en acceptabel nivå? Kontrollfrågor Hur upptäcks en eventuell attack och hanteras icke önskvärda incidenter på ett ändamålsenligt sätt? Hur är säkerheten avseende intrång av extern och intern aktör? Finns det styrande dokument, såsom policy och riktlinjer för IT-säkerhet? 5
3. Granskningsmetod 6
Intern och extern penetrationstest En teknisk säkerhetsgranskning är ett sätt att testa IT-säkerheten genom att utföra realistiska attacker mot verkliga system. För att uppnå hög kvalitet och effektivitet i arbetet, arbetar med scenarion för olika typer av realistiska tester. Ett scenario innehåller hot, tillvägagångssätt och mål. Scenario 1 Intern teknisk säkerhetsgranskning En person utan behörighet till Söderhamn kommuns/söderhamn näras IT-system får fysisk tillgång till det interna nätverket. Personen kartlägger nätverket och attackerar viktiga interna system. Målet är att få tillgång till och kunna ändra information, alternativt att störa systemens tillgänglighet. Scenario 2 Externa tester via Internet En extern hacker, utan djupare kunskaper om Söderhamn kommun, kartlägger organisationens närvaro på Internet. Målet är att bryta sig in i intressanta system exponerade mot Internet. 7
Genomförande Omfattning Testerna genomförs utan förkunskap om hur miljön ser ut (så kallad black box testning). Informationsinsamling Ett flertal verktyg användes inledningsvis för att kartlägga resurser på Söderhamn kommuns nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Dessutom samlades information in från publika källor, så som kommunens hemsida, för att bistå vid de senare intrångsförsöken. Intrångsförsök Intrångsförsök gjordes för att påvisa att de potentiella säkerhetsbristerna som identifierades under informationsinsamlingen var reella sårbarheter. 8
Dokumentgranskning Genom att begära tillgång till IT-relaterade styrdokument från Söderhamn Nära får en bild av vad som finns. genomför en övergripande genomgång av tillgänglig dokumentation för att få en uppfattning om dokumentationen är uppdaterad och löpande revideras enligt god praxis. 9
4. Resultat av penetrationstesten 10
Intern och extern penetrationstest Intrångsförsök genomfördes och sårbarheter identifierades under båda den interna och den externa penetrationstesten. Hur är säkerheten avseende intrång av extern och intern aktör? Vid test av den externt exponerade delen av IT-miljön identifierades webbapplikationer med svag autentisering, flera av dessa visade sig använda Active Directory (AD) för inloggning. Den svaga autentiseringen i kombination med den externa exponeringen samt att det saknas utelåsningsmekanismer möjliggjorde att kunde genomföra en lösenordsattack och på så sätt gissa till sig användarnamn och lösenord för flera konton. Vid test av den interna miljön identifierades avsaknad av önskvärda skyddsmekanismer för nätverksåtkomst, samt segmentering av nätverken. Den bristfälliga nätverkssegmenteringen gjorde att utan svårigheter kunde nå kommunens olika ITresurser. Trots att en stor mängd loggar bör ha genererats i övervakningsverktyg, vilket bör ha orsakat larm, om att en intern attack pågick, såg inga tecken på respons från IT-avdelningen. 11
Intern och extern penetrationstest (forts.) Resultatet av penetrationstesten resulterade i ett antal sårbarheter: Hög risk - 13 st., varav flera fanns i upp till 18 system Medel risk - 6 st., varav flera fanns i upp till 22 system Låg risk - 0 st. Information - 0 st. Se bilaga 1 för närmare beskrivning och riskgradering. 12
Intern och extern penetrationstest (forts.) Exempel på interna sårbarheter: Genomsökning av webbapplikation. Vid säkerhetsgranskningen påträffades en webbapplikation kallad Söderhamn NÄRA funktionsnät. Applikationen låter användaren göra databasanrop via webbgränssnittet vilket resulterar i att en oautentiserad användare får åtkomst till stora mängder data. Genom att efterfråga kunder som gjort depositioner via gränssnittet kunde till exempel 1155 kunders personnummer tillskansas. Genom att söka på specialtecknet - svarade applikationen med samtliga poster. Åtkomst till fildelningsytor. Ett vanligt användarkonto har för höga rättigheter till filservrarna. Genom att söka igenom filservrarna kunde vi identifiera filer som tillhör ekonomisystem, dessa filer innehöll bland annat löneutbetalningar med personuppgifter. Vidare påträffades inskannade dokument från skrivarna samt flertalet konfigurationsfiler. Dessa filer kan avslöja information om tjänster som körs på systemet och eventuellt även innehålla lösenord och annan känslig information 13
Intern och extern penetrationstest (forts.) Avsaknad av hårddiskkryptering. De Windows-klienter som granskades under arbetet saknade hårddiskkryptering. Om en angripare får fysisk åtkomst till en dator utan hårddiskkryptering kan denne enkelt skapa egna lokala administratörskonton samt hämta ut lösenordshashar från datorn. Detta möjliggör för en angripare att använda lösenordshashar för att logga på andra Windows-klienter som har samma lokala administratörskonto och lösenord. Dessutom riskeras att känslig information hamnar i orätta händer om en dator exempelvis glöms på en buss, blir stulen eller liknande. MongoDB kräver ingen autentisering. Den instans av MongoDB som används på systemet kräver ingen autentisering, detta möjliggör för en oautentiserad angripare att lägga till, ta bort, eller förvanska information som finns i databasen. Det ger även en angripare tillgång till information om systemet som instansen körs på. 14
Intern och extern penetrationstest (forts.) Exempel på externa sårbarheter: Exchange Web Service. Genom att genomföra en Dictionary attack mot Exchange Web Service kunde gissa sig till ca 12 konton i BOLAG och ca 130 konton i ADMIN-domänen som hade XXXXXX som lösenord. kunde logga in på e- postkontot för dessa användare och komma åt alla deras e-postkonversationer externt från Internet. Inloggningstjänst. Inloggningsuppgifter överförs från klient till server i klartext, det innebär att uppgifterna kan avläsas om en angripare lyckas avlyssna trafiken. Resurser i DMZ. Flera externt publicerade resurser saknar önskvärda skydd som, Preauthentication i DMZ med utelåsningsmekanism för att skydda Active directory från lösenordsgissning med Bruteforce/dictionary-attacker. I BOLAG-domänen kan man göra obegränsat med inloggningsförsök, vilket leder till att man enkelt kan gissa lösenorden. 15
Intern och extern penetrationstest (forts.) hittade begränsat med kritiska sårbarheter som kunde leda till så kallade eleverade rättigheter. bedömer att detta är på grund av att man haft god rutin för att internt identifiera sårbarheter med hjälp av sårbarhetsskanner. ser även att det finns goda rutiner för uppdatering av servrar, klienter och applikationer. Det finns ett antal åtgärder som kan genomföras för att höja den totala säkerheten till en högre nivå. En av de åtgärder som skulle innebära ett utökat skydd och kunna fördröja en angripare vore att implementera en skyddsmekanism för nätverksaccess (NAC) samt dela upp nätverket så att åtkomst begränsas (nätsegmentering). Utökad segmentering av nätverk, möjligheten att kommunicera mellan dem, skulle förhindra en angripare från att enkelt nå kritiska resurser. Angreppskomplexiteten som skulle krävas för att utföra intrången i denna rapport skulle öka avsevärt samtidigt som det skulle bli svårare att undvika detektering. 16
Intern och extern penetrationstest (forts.) Användarnas klientdatorer ska inte kunna nå vilka servrar som helst. Endast de nödvändigaste portarna och resurserna bör vara tillgängliga till serversegment. Det finns sällan en god anledning till att ge användare möjligheten att ansluta till Domänkontrollanten eller till databasservrar. Databasservrar som innehåller känslig information bör skyddas ytterligare. Det bör finnas krav på autentisering mot dessa instanser. anser att man bör se över skyddet för externt publicerade resurser då det idag saknas önskvärda skyddsmekanismer för extern åtkomst vilket möjliggör att en angripare enkelt kan logga på webbmailen för befintliga användare. rekommenderar att man förbättrar möjligheten att detektera avvikande användarbeteenden genom att implementera lösningar kring detta. På så vis skulle man kunna identifiera när ett användarkonto används i ett skadligt syfte. Exempel på tillfällen då en sådan mekanism skulle kunna varna administratörer kan vara då användare loggar in från okända IP-adresser vid avvikande tider eller när de ansluter till andra resurser än vanligt. 17
5. Resultat av dokumentgranskningen 18
Resultat av dokumentgranskningen I samband med granskningen av dokumentationen har haft samtal med IT-chefen på Söderhamn Nära. Söderhamn kommun beställer IT-driften av Söderhamn Nära. Söderhamn kommun har ej ställt några krav på Söderhamn Nära när det gäller IT-dokumentation. Efter granskningen av den dokumentation som har fått ta del av är :s bedömning att Söderhamn Nära/Söderhamn kommuns IT-relaterade dokument ej håller en tillräckligt hög nivå. Samt att merparten av all relevant dokumentation saknas. IT-dokumentation är viktig och är en trygghet som en verksamhet behöver när det till exempel blir personalförändringar eller driftproblem. 19
Resultat av dokumentgranskningen (forts.) Den dokumentation som har fått ta del av saknar: Dokumentägare/ansvarig Datum Versionsnummer Versionshistorik IT-utvecklingen går i dag fort framåt och system och tjänster ändras ständigt. Det är därför viktigt att dokumentationen löpande revideras för att vara det stöd som det är tänkt att vara. :s rekommendation är att dokumentationen revideras var tolfte månad. 20
Resultat av dokumentgranskningen (forts.) Det saknas, eller så har inte fått ta del av, en mängd viktiga styrdokument och dokument som ska användas i samband med en kris, incident eller vanlig drift. Exempel på dokument som saknas är: IT-plan Disaster recovery-plan Incidenthanteringsplan Policy/riktlinje för nätverksövervakning Drifthandbok Service Level Agreement (SLA) Rollbeskrivningar och ansvarsfördelning Policy och procedurer för hantering av hård- och mjukvara Sårbarhetsplan 21
Resultat av dokumentgranskningen (forts.) :s rekommendation är att Söderhamn kommun ställer krav på Söderhamn Nära vad det gäller dokumentation, samt att man inför återkommande kontroller för att säkerställa att dokumentationen är på plats och är återkommande reviderad. rekommenderar också att Söderhamn Nära gör en kraftansamling och inventerar sin dokumentation, uppdaterar samtlig dokumentation med ägare, datum, versionsnummer samt versionshistorik. Inför årlig revidering av all IT-relaterad dokumentation. Skapar all nödvändig dokumentation som i dag saknas. rekommenderar att revisionen gör en återkommande kontroll över dokumentationsläget om ett år för att säkerställa att ovanstående har åtgärdats. Se bilaga 2 för förslag till genomgång av informationshantering och uppdatering av dokumentation. 22
6. Bilaga 1 23
Riskgradering Gradering Hög Medel Låg Information Beskrivning En sårbarhet med hög risk är något man bör åtgärda omedelbart. Dessa sårbarheter är relativt lätta för en angripare att utnyttja och kan förse denne med full access till de berörda systemen. En sårbarhet med medel risk är oftast svårare att utnyttja och ger inte samma tillgång till det drabbade systemet. En sårbarhet med låg risk ger ofta information till en angripare som kan hjälpa denne i kartläggningen inför en attack. Dessa bör åtgärdas i mån av tid, men är inte lika kritiska som övriga brister. En teknisk eller administrativ brist som bör åtgärdas, eller ett förslag på förbättring. 24
7. Bilaga 2 25
Förslag till genomgång av informationshantering och uppdatering av dokumentation 2. Skapa övergripande standard för organisationens informationshantering Standarden beskriver vad olika dokumenttyper ska innehålla, exempelvis: Versionshantering Dokumentansvar Revisonscykel 3. Processbeskrivning för hur dokumentation ska skapas, underhållas och avvecklas Inom respektive ansvarsområde upprättas de rutiner som är nödvändiga för att leva upp till organisationens krav. Exempelvis hur kvalitetsgranskning skall utföras eller hur fastställande av dokument av olika typer utförs. 4. Säkerställ en god struktur Struktur för dokumentation och information måste vara lättöverskådlig och lätt att hitta i även som nyanställd. 5. Inventering av befintlig information Skapa en lista på vilken dokumentation som saknas samt vem som är ansvarig för att ta fram informationen. Gör en prioritering! 1. Identifiera ägaransvar för samtlig information Klargöra vem, dvs, vilken roll som är ansvarig för vilken dokumentation. Exempelvis IT-chef, tekniker och informationssäkerhetsansvarig. 11. Projektavslut Avsluta projekt och överlämning till linjen. 1 2 3 4 12 11 11 10. Fastställande Fastställ den information som kräver detta. 10 9 5 8 6 7 9. Granskningsförfarande Granskning och second opinion på producerad och reviderad dokumentation. 6. Tidplan Sätta en tidplan utifrån prioritering, när dokumentationen bör vara uppdaterad och reviderad. 7. Påbörja uppdatering/ revidering Påbörja det faktiska arbetet med att uppdatera informationen 8. Klassning av dokument Fastställ informationsklass, besluta om revisionscykelns intervall och ev. granskningsförfarande, etc. 26
8. Kontaktuppgifter 27
Kontaktuppgifter Niklas Ljung Projektledare niklas.ljung@pwc.com 0701 96 03 69 Ronald Binnerstedt Penetrationstestare ronald.binnerstedt@pwc.com 0766 37 61 20 2010. All rights reserved. Not for further distribution without the permission of. "" refers to the network of member firms of PricewaterhouseCoopers International Limited (IL), or, as the context requires, individual member firms of the network. Each member firm is a separate legal entity and does not act as agent of IL or any other member firm. IL does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professional judgment or bind another member firm or IL in any way.