IT-säkerhet Externt och internt intrångstest

Relevanta dokument
IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Internt intrångstest

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Granskning av IT-säkerhet - svar

Håbo kommuns förtroendevalda revisorer

Cyber security Intrångsgranskning. Danderyds kommun

Styrning av behörigheter

Granskning av intern IT - säkerhet. Juni 2017

Granskning av räddningstjänstens ITverksamhet

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Intrångstester SIG Security, 28 oktober 2014

Revisionsrapport. IT-revision Solna Stad ecompanion

Uppföljningsrapport IT-revision 2013

Granskning av intern kontroll i kommunens huvudboksprocess

Riktlinjer för IT-säkerhet i Halmstads kommun

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Revisionsrapport Bisysslor Rutiner för kartläggning och rapportering. Härjedalens kommun

Revisionsrapport "Förstudie av kommunens ITorganisation"

Verkställighet och återrapportering av beslut

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Projekt inom utvecklingsenheten

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

Intern kontroll och riskbedömningar. Strömsunds kommun

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Granskning av förlorad arbetsinkomst avseende politiker

Säker informationshantering utifrån ett processperspektiv

IT- och informationssäkerhet

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Styrdokument. Förmedling till bostadskön INTERNKONTROLLPLAN 2017

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Uppföljning avseende granskning av attestrutiner

Revisionsrapport Granskning av kompetensförsörjning. Härjedalens Kommun

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Uppföljning avseende granskning kring Avtalstrohet

Informationssäkerhetspolicy för Ånge kommun

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Internkontrollplan

Revisionsrapport. Kontantkassor. Gällivare kommun. Februari Hans Forsström, certifierad kommunal revisor

Metod för klassning av IT-system och E-tjänster

Granskning avseende efterlevnad av fullmäktiges styr- och policydokument. Sandvikens kommun

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Sjunet standardregelverk för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Externt finansierade projekt

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Granskning av delårsrapport 2018

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Dnr Rev Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Din guide till en säkrare kommunikation

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Uppföljning av revisionsrapport Kommunala aktivitetsansvaret i Lysekils kommun januari 2019

Revisionsrapport. Granskning av omsorgs- och socialnämndens styrning, uppföljning och kontroll. Mjölby kommun. Håkan Lindahl.

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Granskning av intern kontroll

IDkollens Integritetspolicy

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Delårsrapport

Informations- och kommunikationsteknologi. Smedjebackens kommun

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

Granskning av delårsrapport Mönsterås kommun

Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg.

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

S Intern kontroll Regler

Förstudie: Övergripande granskning av ITdriften

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Granskning av intern kontroll

Revisionsrapport. Granskning av delårsrapport. Håkan Olsson Certifierad kommunal revisor Samuel Meytap. Vänersborgs kommun. oktober 2oi7.

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Översiktlig granskning av delårsrapport 2013

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Kommunrevisionen KS 2016/00531

Anläggningsredovisning

Granskning av delårsrapport 2016

Granskning av kommunens övergripande planering av kompetensförsörjning

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

UPPFÖRANDEKOD (CODE OF CONDUCT) Sid 1 INTEGRITETSPOLICY. SMA Mineral-koncernen

installation av bredband via telejacket. Att installera ditt ADSL-modem tar bara någon minut.

FÖRHINDRA DATORINTRÅNG!

Granskning av delårsrapport 2017

STRATEGIPLAN

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Samordningsförbundet Pyramis

Transkript:

Revisionsrapport IT-säkerhet Externt och internt intrångstest Tierps kommun Älvkarleby kommun Kerem Kocaer Juni 2014

Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte, omfattning och avgränsning... 4 Metodik... 4 Resultat... 5 Sammanfattande bedömning... 6 2(6)

Inledning Revisorerna i Tierps kommun och Älvkarleby kommun har beslutat att genomföra en granskning av ITsäkerheten. PwC har fått uppdraget att genomföra granskningen, vilken utförts i form av intrångstester mot delar av kommunernas system. Granskningen har utförts under vår 2014. Bakgrund Kommunerna blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och system blir mer integrerade såväl inom kommunerna som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Information måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Sedan 2011-2012 finns det en gemensam IT-nämnd, IT-Centrum, mellan Tierps kommun och Älvkarleby kommun. IT-Centrum har som uppdrag att förse användarna med verktyg för att hantera och förenkla vardagens processer. Om IT-Centrum inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera ITsäkerheten finns risk för att känslig information, t ex personuppgifter, kan läcka ut till obehöriga. Utöver detta finns det även risk för att det uppstår fel i kritiska processer p g a att information är felaktig eller inte finns tillgänglig. Sammantaget kan detta leda till att kommunernas trovärdighet ifrågasätts, såväl som till ekonomiska förluster och förlorat anseende. Genom granskning av säkerhet avseende teknik, identifieras eventuella riskområden där skydd av kommunernas information saknas. Mot bakgrund av detta har kommunerna bedömt att en granskning av informations- och IT-säkerheten behöver genomföras. Revisionsfråga Granskningens syfte är att bedöma om IT-säkerheten, ur ett övergripande perspektiv, är tillräcklig. Revisorerna önskar svar på följande revisionsfråga: Är kommunernas nuvarande IT-säkerhet tillräcklig och ansvarsförhållanden tydliga för att minimera risker för obehörigt intrång? För att besvara granskningens övergripande revisionsfråga har följande kontrollmål varit styrande för granskningen: Hur är säkerheten avseende intrång av extern aktör? Hur är säkerheten avseende intrång av intern aktör? 3(6)

Angreppssätt Syfte, omfattning och avgränsning Syftet med testerna och granskningen var att utvärdera kommunernas interna och externa IT-säkerhet, att identifiera potentiella säkerhetsbrister samt att ge rekommendationer för riskreducerande åtgärder. Vidare har utvärdering och bedömning av systemen och IT-miljön som helhet genomförts, baserat på observationer under testets genomförande. Uppdraget har utförts i två delar; Externt intrångstest I de externa testerna, vilka utfördes från PwC:s säkerhetslaboratorium, granskades kommunernas tjänster som är nåbara från Internet. Hotbilden som illustreras är en extern så kallad hacker som försökte erhålla åtkomst till intressant information. Internt intrångstest I de interna testerna granskades kommunernas interna IT-miljö på plats från det ordinarie interna nätverket. Hotbilden som illustreras i dessa tester är exempelvis en missnöjd anställd, konsult eller annan person som får tillgång till ett nätverksuttag i kommunernas lokaler. Hotbilden är liknande om en persondator som drabbas av skadlig kod (exempelvis ett trojanprogram) ansluts till det interna nätverket. De s k intrångstesterna har endast omfattat tester av en begränsad mängd servrar och tjänster. Målsystem, där t ex känslig information behandlas samt vilka IP-adresser som ingår i testerna, har specificerats i detalj under uppdragets första fas. Vidare ger testerna endast en ögonblicksbild av IT-säkerhetsnivån och är således ingen garanti för att nivån är densamma i framtiden. Metodik Både de externa och interna intrångstesterna genomfördes i fyra steg: hotbildsanalys, generell informationsinsamling, intrångsförsök samt rapportering och sammanställning. Ett flertal verktyg användes inledningsvis för att kartlägga resurserna på kommunernas nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Avslutningsvis testades även de identifierade systemen och tjänsterna för eventuella säkerhetsproblem och brister. Detta för att kartlägga och bestämma de olika sätt som systemen kunde angripas på. Efter insamling av information utarbetades planer för hur det fortsatta arbetet skulle kunna genomföras, i enlighet med de scenarier som tidigare definierats. Under intrångssteget försökte vi erhålla behörighet eller på annat sätt kringgå säkerheten i de testade systemen. Samtliga tester i det första scenariot utfördes via Internet från PwC:s laboratorium i Stockholm. Under det interna scenariot genomfördes testerna från lokaler inom Tierps kommun, varifrån målsystemen uppsöktes och attackerades. Rapporten har sakgranskats av berörda tjänstemän. 4(6)

Resultat Mot bakgrund av tekniska detaljer i rapporten har resultatet sammanfattats i en bilaga. PwC rekommenderar att bilagan sekretessbeläggs med stöd av sekretesslagen 2009:400 kapitel 18 paragraf 8. 5(6)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss