Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)



Relevanta dokument
IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Internt intrångstest

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Granskning av IT-säkerhet - svar

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Håbo kommuns förtroendevalda revisorer

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Cyber security Intrångsgranskning. Danderyds kommun

Granskning av intern IT - säkerhet. Juni 2017

Riktlinjer för IT-säkerhet i Halmstads kommun

Styrning av behörigheter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Uppföljningsrapport IT-generella kontroller 2015

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Granskning av räddningstjänstens ITverksamhet

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

IT- och informationssäkerhet

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

FÖRHINDRA DATORINTRÅNG!

Granskning av intern kontroll i kommunens huvudboksprocess

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Uppföljningsrapport IT-revision 2013

Övergripande granskning av ITverksamheten

Uppföljning avseende granskning av attestrutiner

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Intrångstester SIG Security, 28 oktober 2014

Uppföljning av intern kontroll avseende fakturahantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Intern kontroll och riskbedömningar. Strömsunds kommun

Region Skåne Granskning av IT-kontroller

Revision av årsbokslutet

Projekt inom utvecklingsenheten

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Granskning av generella IT-kontroller för PLSsystemet

Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg.

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Granskning av Intern kontroll

Bolagsspecifika resultat Sektion 3. Page 1

Intern kontroll avseende fakturahantering

Lägesrapport av säkerhetsbrist i Stockholms läns landsting IT-miljö

Paraplysystemets säkerhet och ändamålsenlighet

Informations- och kommunikationsteknologi. Smedjebackens kommun

Dnr Rev Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

Övergripande IT- och informationssäkerhet

Intern kontroll och riskbedömningar. Sollefteå kommun

BILAGA 3 Tillitsramverk Version: 1.2

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Anvisning om riskhantering och internrevision i värdepapperscentraler

Riktlinje för informationssäkerhet

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Säkerhet och förtroende

Förstudie: Övergripande granskning av ITdriften

Revisionen i finansiella samordningsförbund. seminarium

Verkställighet och återrapportering av beslut

Riktlinjer för informationssäkerhet

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Granskning av förlorad arbetsinkomst avseende politiker

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Guide för säker behörighetshantering

Svar på revisionsrapport Uppföljande granskning av ITsäkerhetsarbetet

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Strategi Program Plan Policy» Riktlinjer Regler

Punkt 15: Riktlinje för internrevision

Riktlinjer för intern kontroll

Uppföljande granskning: Sjukfrånvaro och rehabilitering. Strömsunds kommun

Sjunet standardregelverk för informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Uppföljning av tidigare granskning

Transkript:

Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6)

Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning och mål... 4 2.2. Generellt tillvägagångssätt... 4 2.3. Begränsningar... 5 2.4. Möjliga konsekvenser... 5 3. Iakttagelser och rekommendationer... 6 2(6)

1. Sammanfattning 1.1. Bakgrund Kommunen blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom kommunen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den ska finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Om kommunen inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera IT-säkerheten finns risk att känslig information kan läcka ut till obehöriga eller att viktig data obehörigt manipuleras. Sammantaget kan detta leda till att kommunens trovärdighet ifrågasätts såväl som ekonomiska förluster och förlorat anseende. Mot bakgrund av detta har PricewaterhouseCoopers (PwC) på uppdrag av de förtroendevalda revisorerna för Tierps kommun genomfört intrångstester mot kommunens interna ITmiljö. Genom granskning av intern säkerhetsnivå identifieras eventuella riskområden där skydd av kommunens information brister eller saknas. 1.2. Revisionsfråga Granskningens revisionsfråga är att bedöma om den befintliga IT-säkerheten är tillräcklig ur ett övergripande perspektiv. Revisorerna önskar svar på följande revisionsfråga: Är kommunens organisation och interna kontroll ändamålsenlig och tillräcklig när det gäller IT-säkerhet med fokus på skydd mot obehörigt intrång av intern aktör? 3(6)

2. Angreppssätt 2.1. Omfattning och mål Syftet med testerna och granskningen var att utvärdera kommunens interna IT-säkerhet, att identifiera potentiella säkerhetsbrister samt att ge rekommendationer för riskreducerande åtgärder. Vidare har utvärdering och bedömning av systemen och IT-miljön som helhet genomförts, baserat på observationer under testets genomförande. I följande stycken beskrivs kort omfattning och utgångspunkt för uppdraget. Det interna penetrationstestet utgår från ett scenario som definieras nedan. Scenario 1 Åtkomst till verksamhetskritiska system från det interna nätverket En person utan giltig behörighet till kommunens interna nätverk eller system får tillgång till det interna nätverket. Personen kartlägger nätverket i mån av tid och attackerar intressanta system. Målet är att få tillgång till och kunna ändra informationen, alternativt att störa systemens tillgänglighet. Attackerna genomfördes från det interna nätverket med en standardmässigt tilldelad IPadress på nätverket. 2.2. Generellt tillvägagångssätt De interna testerna genomförs i fyra steg; generell informationsinsamling, sårbarhetsanalys, intrångsförsök samt rapportering och sammanställning. Granskningen av processer inom IT-säkerhet har utförts genom intervjuer med berörda personer samt granskning av ett urval av relevant dokumentation. För informationsinsamling används många olika verktyg och informationskanaler för att kartlägga resurserna. För de externa testerna omfattar det generellt fastställande av förekommande tjänster, applikationer och operativsystem. För de interna testerna omfattar det giltiga användarnamn, domäninformation och förekommande tjänster på servernätverket. Använda verktyg är programvara för portscanning och tjänster för infrastruktur som DNS, WINS, LDAP och SMB. I steg två analyseras insamlad information och tjänster på nätverket inventeras. Program för att identifiera välkända sårbarheter används för att i största möjliga mån effektivisera informationsinsamlingen och en sårbarhetsanalys sker. Denna typ av program orsakar ett stort antal loggaktiviteter och larm i eventuella övervakningssystem, och i detta läge bör helst ett intrångsförsök identifieras om det inte redan skett i steg ett. I steg tre genomförs intrångsförsök, i enlighet med det scenario som tidigare definierats. I vissa fall utnyttjas svaga lösenord för att erhålla obehörig åtkomst eller mer detaljerad information. I andra fall utnyttjas brister i konfiguration eller kända sårbarheter i program för att utnyttja eller överta kontrollen av en dator. 4(6)

Om administrativa behörigheter erhålls verifieras åtkomst till målsystemen, alternativt inloggning till motsvarande applikationer. Fulla behörigheter till målsystemen innebär oftast även att full åtkomst till andra system erhålls. Efter genomförandet analyseras den omfattande insamlade informationen närmare, och används även som bakgrund till granskningen av IT-säkerhetsprocesser. Därefter sammanställs informationen från penetrationstesterna och granskning av rutiner i denna rapport. 2.3. Begränsningar Testerna har begränsats av följande faktorer: Tester har enbart genomförts mot relevant utrustning för att uppnå scenariernas mål. Då ett stort antal system påträffats i det interna nätverket, har tester gjorts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Aktiviteter genomförda före eller efter testperioden behandlas enbart till viss del i genomgången av IT-säkerhetsprocesser. För att undvika eventuella driftstörningar har tester inte genomförts där risken för att störa produktion bedömts som hög, såvida inte explicit tillstånd för detta erhållits. 2.4. Möjliga konsekvenser Nedan följer exempel på potentiella konsekvenser av bristande säkerhet i den interna ITmiljön. Brist i integritet. Manipulation av information i databaser som ekonomisystem eller journalsystem. Brist i sekretess. Otillbörlig åtkomst till information i databaser eller på användares arbetsstationer. Brist i tillgänglighet. En illasinnad person skulle kunna påverka tillgängligheten i system genom sabotage. Ett antal tjänster skulle kunna stoppas för en kortare eller längre tid. Att information permanent skulle gå förlorad kan inte uteslutas. 5(6)

3. Iakttagelser och rekommendationer Resultatet av de genomförda testerna har delgivits berörda. 6(6)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss