Granskning av intern IT - säkerhet. Juni 2017

Relevanta dokument
Cyber security Intrångsgranskning. Danderyds kommun

Håbo kommuns förtroendevalda revisorer

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Sammanträdesdatum Arbetsutskott (1) 168 Dnr KS/2017:241. Granskning av IT-säkerhet Mjölby 1.0

Producentansvar ut ett redovisningsperspektiv När ska en skuld kopplad till WEEE-direktivet redovisas?

Sollefteå kommun. Kontroll, insyn och tillsyn av externa utförare - Övergripande granskning. Anneth Nyqvist Certifierad kommunal revisor

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Öppna data Nytta och utmaningar för verksamheten

Vilhelmina kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

Koll på kostnaderna OPS och livscykeltänk

Granskning av räddningstjänstens ITverksamhet

Energiskattefrågor vid vindkraftsproduktion 22 mars 2012

Skapa handlingsfrihet och värde inför en kommande exit

Sundsvalls kommun. Förstudie Beredskap för ökat flyktingmottagande Anneth Nyqvist - projektledare Robert Bergman - projektmedarbetare

Offertförslag Vårdreformen i Finland (SOTE) konsekvenser för Ålands kommuner

Kunskapsdagen 2018 Civilrätt för dig som företagare och privatperson

Ombildning av enskild näringsverksamhet till AB

Öppna data Offentlighetsprincipen för det 21:a århundradet

IT-säkerhet Externt och internt intrångstest

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

E-förvaltning under lupp Offentlig sektors högsta chefers syn på e-förvaltning

Ombildning av enskild näringsverksamhet till AB

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Framtida skattesystem för biodrivmedel?

IT-säkerhet Externt och internt intrångstest

Skattefrågor m.m. vid vindkraftsproduktion 31 mars 2015

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Risker för korruption och oegentligheter vid stora investeringar

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Utvärdering av Caught by Umeå Kulturhuvudstadsåret mars 2014

IFRS 16 Leases IFRS Symposium

IT-säkerhet Internt intrångstest

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Granskning av IT-säkerhet - svar

Hur ska svensk sjukvård nå upp till den informationssäkerhetsnivå som krävs?

Din personlig cybersäkerhet

Leksands kommun Kommunrevisionen. Kommunstyrelsen. Revisionsrapport

Granskning av IT. Sunne kommun

Lösenordsregelverk för Karolinska Institutet

PwC Digital Trust Introduktion till GDPR. GRC-dagarna oktober 2017

Utvärdering av Förskola i förändring. Slutrapport, oktober 2012

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Granskning av integrationoch flykting-mottagande. Sunne kommun

Guide för säker behörighetshantering

Västervik Miljö & Energi AB. 18 augusti Torbjörn Bengtsson & Sofia Josefsson

Privattandläkarna. Erbjudande till medlemmar Redovisningstjänster. För mer information kontakta

Kommittén för God revisors- och revisionssed 2015/2016. PwC

Översyn av IT-verksamheten

KPMG Secure File Transfer Handledning

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande granskning IT-driften

3. IFRS 16 - Leases Kunskapsdagen Malmö 21 november 2017

Upplands-Bro kommun. Uppföljning av projekt inom lekmannarevisionen Mats Lundberg

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Kommunal revision. Johan Osbeck 20 januari 2015

Förändrade förväntningar

Revisionsplan 2015 Sollefteå kommun

Svenljunga kommun Januari 2019

Omvärlden tränger sig på - Hot och trender november 2018

Sammanfattning. Revisionsfråga Har kommunstyrelsen och tekniska nämnden en tillfredställande intern kontroll av att upphandlade ramavtal följs.

Ansvarsutövande Barn- & Utbildningsnämn den

Utvärdering Tillväxtprogram för Örebroregionens näringslivsutveckling

Kunskapsdagen Nya ränteavdragsbegränsningsregler vad innebär den nya lagstiftningen i praktiken? Andreas Paulsson och Ingemar Ritseson

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

DIG IN TO Nätverkssäkerhet

Rapportering lekmannarevisionen 2016 Värmdö kommuns bolags lekmannarevisorer april 2017

Lagförslag om obligatorisk hållbarhetsredovisning CSR Öresund 19 maj 2016

Rutiner för avgångssamtal Östersunds kommun. Samtliga nämnder

Vägen mot en likvärdig skola leda och hantera till likvärdig skola november

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Intern kontroll och riskbedömningar. Strömsunds kommun

Intäkter inom äldreomsorgen Habo kommun

Trygga Betalningar Få kontroll över leverantörer och betalningar

Ekonomgruppen i Kungälvs kommun oktober 1999 Antagen av kommunfullmäktige , x.

Framtidens Internrevision 27 november 2018

Vulnerability Assessment Tjänstebeskrivning

Ansvarsutövande: nämnden för arbetsmarknad, vuxenutbildning och integration

Informationsklassning och systemsäkerhetsanalys en guide

Ansvarsutövande Gemensam nämnd för drift av personalsystem

KPMG Stockholm, 2 juni 2016

10. Ekonomiska oegentligheter - att upptäcka, utreda och förebygga incidenter? Kunskapsdagen Malmö 21 november 2017

Skattepliktig förmån eller muta - vad är vad, och var går gränsen? Stora Skattedagen Stockholm, 9:e november, 2016

Trygga Betalningar Få kontroll över leverantörer och betalningar

Ansvarsutövande Lantmäterinämnden

Säkerhet och förtroende

Framtidens äldreomsorg - översiktlig granskning. Strömsunds kommun

IFRS 16 moms respektive fastighetsskatt för leasetagaren

Erfarenheter efter första året av lagstadgad hållbarhetsrapportering november 2018

26. Det tuffaste styrelseuppdraget att vara ledamot i föreningar och stiftelser november 2017

Innebörden av det ekonomiska arbetsgivarbegreppet. Stora Skattedagen Stockholm, 9:e november, 2017

Informationssäkerhetspolicy för Ånge kommun

Oegentligheter - Inget som drabbar oss, eller? 21 november 2018

Det tuffaste styrelseuppdraget att vara ledamot i föreningar och stiftelser november 2018

Anna Borg och Fredrik Ljungdahl

Periodisering av räkenskaper

Säkra trådlösa nät - praktiska råd och erfarenheter

Motala kommun. Övergripande granskning 2015 Kommunstyrelsen. Revisionsrapport. Offentlig sektor KPMG. Antal sidor: 9

Transkript:

Landskrona stad Granskning av intern IT - säkerhet Juni 2017

Bakgrund och syfte 2

Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder och fasta fullmäktigeberedningar. Kommunstyrelse och facknämnder ska förvalta och genomföra verksamheten i enlighet med fullmäktiges uppdrag, lagar och föreskrifter. För att fullgöra uppdraget måste respektive organ bygga upp system och verktyg för ledning, styrning, uppföljning, kontroll och rapportering samt säkerställa att dessa verktyg tillämpas på avsett sätt. En bristfällig styrning och kontroll kan riskera att verksamheten inte bedrivs och utvecklas på avsett sätt. Revisorerna har uppmärksammat att risker och hot från det framväxande digitala landskapet, cyberrisker, får ökande uppmärksamhet från både företag och myndigheter. Detta främst orsakat av de senaste årens snabba digitala utveckling med följande exponering mot Internet samt ökad användning av smartphones och andra bärbara enheter hos medarbetare, både privat och i yrkeslivet. Ökad aktivitet bland kriminella och andra antagonistiska aktörer bidrar också starkt till den växande hotbilden. Man har från såväl näringsliv som offentlig sektor insett att den hot- och riskbild som växer fram behöver tolkas och göras begriplig så att relevanta och balanserade motåtgärder kan vidtas. I grund och botten handlar det om behovet att skydda sig mot angripare som oavbrutet arbetar för att hitta nya vägar att stjäla, förstöra eller på annat sätt manipulera informationstillgångar eller informationsinfrastruktur. Revisorerna har i sin riskanalys för 2017 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillfredsställande gällande obehörigt intrång och har därför gett ett uppdrag att granska området. 3

Syfte och revisionsfråga 4

Syfte och revisionsfråga Har kommunstyrelsen säkerställt att Landskrona stads nuvarande tekniska IT-säkerhet är tillräcklig och tillfredsställande för att reducera risker för obehörigt intrång till acceptabel nivå? Kontrollfrågor 1. Upptäcks en eventuell attack och hanteras den av IT-personalen på ett rimligt tillvägagångssätt? 2. Har Landskrona stad externa säkerhetsåtgärder som förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån Internet? 5

Granskningsmetod 6

Extern penetrationstest En teknisk säkerhetsgranskning är ett sätt att testa IT-säkerheten genom att utföra realistiska attacker mot verkliga system. Syftet med dessa test har varit att lokalisera sårbarheter och svagheter vilka skulle kunna utnyttjas av en extern angripare. Därför granskades miljön utifrån infallsvinkeln att angriparen befann sig utanför det interna nätverket. erhöll innan testernas initiering de aktuella IP-adresserna, vilka ägs och drivs av Landskrona stad. För att uppnå hög kvalitet och effektivitet i arbetet, arbetar med scenarion för olika typer av realistiska tester. Ett scenario innehåller hot, tillvägagångssätt och mål. Scenario Externa tester via Internet En extern hacker, utan djupare kunskaper om Landskrona stad, kartlägger organisationens närvaro på Internet. Målet är att bryta sig in i intressanta system exponerade mot Internet. 7

Genomförande Uppdraget genomfördes i tre steg: generell informationsinsamling, intrångsförsök samt rapportering och sammanställning. Omfattning Genom så kallad DNS-enumrering identifierades de system i Landskrona Stads IT-miljö vilka var exponerade mot Internet, dessa system ansågs vara nominerade. Informationsinsamling Ett flertal verktyg användes inledningsvis för att kartlägga resurser på Landskrona stads nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Dessutom samlades information in från publika källor, så som kommunens hemsida, för att bistå vid de senare intrångsförsöken. Intrångsförsök Intrångsförsök gjordes för att påvisa att de potentiella säkerhetsbristerna som identifierades under informationsinsamlingen var reella sårbarheter. Intrångsförsöket genomfördes med minimal inblandning av driftspersonal hos Landskrona Stad. 8

Resultat av penetrationstesten 9

Extern penetrationstest Den externa penetrationstesten visar på 5 sårbarheter av medium risk. Flera av dessa sårbarheter återfanns i upp till 3 system. Se bilaga 1 för närmare beskrivning av riskgradering. Exempel på funna sårbarheter: Publicering av externa resurser. Flera externt publicerade resurser ser ut att sakna önskvärda skydd såsom Pre-authentication i DMZ med utelåsningsmekanism, vilket ämnar skydda Active directory från lösenordsgissning med brute force/dictionaryattacker samt Denial of Service (DOS) genom utlåsning av konton. Om tjänstekonton blir låsta påverkar det tjänsterna som använder dem. Enkel gissning av användarnamn. Då man begär nytt lösenord via e-post avslöjar den externt publicerade resursen Heroma Webb om det angivna användarnamnet återfinns bland giltiga användare eller ej. Detta underlättar för en angripare som önskar gissa användarnamn/syntax och senare utföra lösenordsattacker genom exempelvis brute force. Poodle CVE-2014-3566. SSL implementationen för webbapplikationen Familjeportalen är sårbar för poodle. En attack skulle kunna innebära att en angripare kommer åt känslig information såsom lösenord, cookies eller liknande genom att genomföra en så kallad Man-in-the-middle attack. 10

Extern penetrationstest (forts.) Sammanfattningsvis bedriver Landskrona stad, med externa leverantörer, ett gott säkerhetsarbete. Jämfört med andra kommuner i liknande storlek ligger Landskrona stads resultat över genomsnittet. En del sårbarheter och konfigurationsbrister bör dock adresseras för att minimera risken för intrång. Exempelvis anser att man bör se över externt publicerade resursers autentisering. Dessa bör ha låsningsmekanismer vilka låser konton efter ett visst antal inloggningsförsök. Denna låsning bör endast gälla för externa inloggningsförsök så att det interna AD-kontot ej kan låsas från Internet. Något som är viktigt att ta i beaktande är att denna granskning endast ger en ögonblicksbild av den befintliga säkerhetsnivån och det krävs att man ständigt arbetar med IT-säkerheten. Detaljerat resultat och rekommendationer avseende penetrationstesten finns i den sekretessbelagda rapporten som har överlämnas direkt till IT-avdelningen. 11

Extern penetrationstest (forts.) Svar på kontrollfrågorna 1. Upptäcks en eventuell attack och hanteras den av IT-personalen på ett rimligt tillvägagångssätt? fick inga tecken på respons från IT-avdelningen i samband med att penetrationstesten genomfördes. Detta kan dock förklaras med att man inte lyckades ta sig in på insidan. Hade man däremot tagit sig in, eller fortsatt med interna penetrationstester, så ska larm gå och personal agera om sådana system och rutiner finns på plats. 2. Har Landskrona stad externa säkerhetsåtgärder som förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån Internet? Ja, :s bedömning är att Landskrona stad har externa säkerhetsåtgärder som förhindrar enkel åtkomst från Internet. 12

Bilaga 1 13

Riskgradering Gradering Hög Medel Låg Information Beskrivning En sårbarhet med hög risk är något man bör åtgärda omedelbart. Dessa sårbarheter är relativt lätta för en angripare att utnyttja och kan förse denne med full access till de berörda systemen. En sårbarhet med medel risk är oftast svårare att utnyttja och ger inte samma tillgång till det drabbade systemet. En sårbarhet med låg risk ger ofta information till en angripare som kan hjälpa denne i kartläggningen inför en attack. Dessa bör åtgärdas i mån av tid, men är inte lika kritiska som övriga brister. En teknisk eller administrativ brist som bör åtgärdas, eller ett förslag på förbättring. 2017-06 - 13 14

Kontaktuppgifter 15

Kontaktuppgifter Niklas Ljung Projektledare n iklas.ljung@pwc.com 0701 96 03 69 Ronald Binnerstedt Penetrationstestare ronald.binnerstedt@pwc.com 0766 37 61 20 2010. All rights reserved. Not for further distribution without the permission of. "" refers to the network of member firms of PricewaterhouseCoopers International Limited (I L), or, as the context requi res, individual member firms of the network. Each member firm is a separate legal entity and does not act as agent of IL or any other member firm. I L does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member firms nor can it contr ol the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professional judgment or bind another member firm or I L in any way.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss