IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Relevanta dokument
Granskning av IT-säkerhet - svar

IT-säkerhet Internt intrångstest

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Håbo kommuns förtroendevalda revisorer

Cyber security Intrångsgranskning. Danderyds kommun

Granskning av intern IT - säkerhet. Juni 2017

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Granskning av räddningstjänstens ITverksamhet

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Informationssäkerhetspolicy för Ånge kommun

Vulnerability Assessment Tjänstebeskrivning

Styrning av behörigheter

Intrångstester SIG Security, 28 oktober 2014

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

DIG IN TO Nätverkssäkerhet

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

FÖRHINDRA DATORINTRÅNG!

Säkra trådlösa nät - praktiska råd och erfarenheter

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

IT- och informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Sjunet standardregelverk för informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Penetration testing Tjänstebeskrivning

Guide för säker behörighetshantering

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

21.6 Testa VPN-tunneln

Vem tar ansvar för Sveriges informationssäkerhet?

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson

Informationssäkerhet, Linköpings kommun

Redovisning av 2007 års internkontrollarbete inom koncernen Stockholm Business Region

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Övergripande granskning av AB Ronneby Industrifastigheter 2011

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Administrativ säkerhet

ISA Informationssäkerhetsavdelningen

Informations- och kommunikationsteknologi. Smedjebackens kommun

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Filleveranser till VINN och KRITA

IT-Säkerhetsinstruktion: Förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Myndigheten för samhällsskydd och beredskaps författningssamling

Anläggningsredovisning

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

BILAGA 3 Tillitsramverk Version: 1.2

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Granskning av kostnämnden i Lycksele år 2016

Åtkomst till Vårdtjänst via RSVPN

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Bilaga 3 Säkerhet Dnr: /

Informations- och IT-säkerhet i kommunal verksamhet

Säkerhet och förtroende

Uppföljning avseende granskning av attestrutiner

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Lösenordsregelverk för Karolinska Institutet

Revisionsrapport Elektroniska arkiv Björn Johrén November 2014 Sollentuna kommun

Granskning IT-säkerhet - hälsokontroll cyber security

Rätt intäkter - uppföljning

Åtgärder och aktiviteter

Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg.

Dina personuppgifter och hur vi hanterar dem

Logisk Access I MicroWeb

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Paraplysystemets säkerhet och ändamålsenlighet, revisionsrapport

Framtidens äldreomsorg - översiktlig granskning. Strömsunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Översiktlig granskning av delårsrapport 2018 Räddningstjänsten Väst

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Granskning av Samordningsförbundet i Ånge Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Granskning av förlorad arbetsinkomst avseende politiker

Informationsklassning , Jan-Olof Andersson

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - en översikt. Louise Yngström, DSV

F6 Exchange EC Utbildning AB

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Informationssäkerhetspolicy

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Transkript:

www.pwc.com/se IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Revisionsfråga Granskningen syftar till att identifiera sårbarheter i kommunens externa nätverk genom tekniska tester. För att uppnå granskningens syfte är följande kontrollmål styrande för granskningen: Kommunen har en informations- och IT-säkerhet som anses uppfylla krav enligt god praxis. Det finns en tillräcklig och tydlig styrning av kommunens informationssäkerhet. Kommunen har tillfredställande rutiner avseende åtkomst, patch och incidenthantering. En eventuell attack upptäcks och hanteras av IT-personalen på ett rimligt tillvägagångssätt. Kommunens externa säkerhetsåtgärder förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån Internet. 2

Angreppssätt Scenario Extern intrångstest En person utan behörighet till kommunens system får via Internet tillgång till kommunens känslig information. Hotbilden som illustreras är en extern s.k. hacker som försöker erhålla åtkomst till intern information. 3

Avgränsningar Testerna har begränsats av följande faktorer: Tester har enbart genomförts mot en begränsad mängd av externa servrar och tjänster. Målsystem har specificerats av kommunen. I de fall sårbarheter har detekteras, har fördjupade försök att utnyttja dessa gjorts. Endast de mest allvarliga sårbarheterna har verifierats och utnyttjas. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. För att undvika eventuella driftstörningar har tester inte genomförts där risken för att störa produktionen bedömts som hög, exempelvis s.k. DDoS attacker (belastningsattacker). 4

Sammanfattande bedömning Vi bedömer säkerheten avseende det externa penetrationstestet som strax över medel i jämförelse med liknande testresultat i jämförbara verksamheter. De sårbarheter som upptäcktes var av generell karaktär och kan tillsammans bilda en hög risk, med det kräver lång tid och hög budget för att utnyttja. Resultatet för intrångsförsöket visar att det finns några tveksamma tjänster som bör genomgå en grundligare översyn ex VPN-lösningen, FRI4-systemet m.fl. 12 sårbarheter har identifierats på de granskade IT-systemen. Följande områden innefattar de huvudsakliga säkerhetsbristerna. Åtkomst till styrningssystem Solar web Bristfällig webbsäkerhet med tanke på användning av https Det noterades även att Kommunen använder sig av många tredjepartslösningar som inte omfattats av granskningen. 5

Exempel på sårbarheter Fronius Skänninge Idrottshall (kritisk) En angripare kan komma åt admin-gränssnittet i lösningen Inställning- och inloggningsmöjligheter Inloggning över http (medel) Webbtjänster skickas över http vilket inte rekommenderas SSL/TLS konfiguration (medel) Servrar som använder http är felkonfigurerande Informationsläckage vid felmeddelande (låg) Felmeddelanden som innehåller utförlig information på produktionsservrarna 6

Slutsats och rekommendation Vår sammanfattande bedömning är att kommunen uppnår en tillräcklig IT-säkerhet för att minimera risker för obehörigt intrång från internet. Det är dock viktigt att lägga ett extra fokus på IT-säkerhet och kravställning avseende säkerhetsgranskningar gentemot tredjepartsleverantör. Detta med tanke på den känsliga information som Mjölby Kommun hanterar gällande sina medborgare och den ökande risken för cyberhot. rekommenderar kommunen att genomföra en riskanalys samt åtgärdsanalys baserat på de angivna iakttagelserna och rekommendationerna i denna rapport. Fokus bör vara att omgående åtgärda de mest kritiska riskerna för att sedan prioritera resterande iakttagelser. De åtgärder som genomförs bör revideras och granskas efter införandet för att säkerställa att effekten av åtgärden uppnås. Detta kan exempelvis göras genom analys av utförda åtgärder, nya penetrationstester eller manuella kontroller 7

Avslutning - frågor 8