Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6)
Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning och mål... 4 2.2. Generellt tillvägagångssätt... 4 2.3. Begränsningar... 5 2.4. Möjliga konsekvenser... 5 3. Iakttagelser och rekommendationer... 6 2(6)
1. Sammanfattning 1.1. Bakgrund Kommunen blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom kommunen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den ska finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Om kommunen inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera IT-säkerheten finns risk att känslig information kan läcka ut till obehöriga eller att viktig data obehörigt manipuleras. Sammantaget kan detta leda till att kommunens trovärdighet ifrågasätts såväl som ekonomiska förluster och förlorat anseende. Mot bakgrund av detta har PricewaterhouseCoopers (PwC) på uppdrag av de förtroendevalda revisorerna för Tierps kommun genomfört intrångstester mot kommunens interna ITmiljö. Genom granskning av intern säkerhetsnivå identifieras eventuella riskområden där skydd av kommunens information brister eller saknas. 1.2. Revisionsfråga Granskningens revisionsfråga är att bedöma om den befintliga IT-säkerheten är tillräcklig ur ett övergripande perspektiv. Revisorerna önskar svar på följande revisionsfråga: Är kommunens organisation och interna kontroll ändamålsenlig och tillräcklig när det gäller IT-säkerhet med fokus på skydd mot obehörigt intrång av intern aktör? 3(6)
2. Angreppssätt 2.1. Omfattning och mål Syftet med testerna och granskningen var att utvärdera kommunens interna IT-säkerhet, att identifiera potentiella säkerhetsbrister samt att ge rekommendationer för riskreducerande åtgärder. Vidare har utvärdering och bedömning av systemen och IT-miljön som helhet genomförts, baserat på observationer under testets genomförande. I följande stycken beskrivs kort omfattning och utgångspunkt för uppdraget. Det interna penetrationstestet utgår från ett scenario som definieras nedan. Scenario 1 Åtkomst till verksamhetskritiska system från det interna nätverket En person utan giltig behörighet till kommunens interna nätverk eller system får tillgång till det interna nätverket. Personen kartlägger nätverket i mån av tid och attackerar intressanta system. Målet är att få tillgång till och kunna ändra informationen, alternativt att störa systemens tillgänglighet. Attackerna genomfördes från det interna nätverket med en standardmässigt tilldelad IPadress på nätverket. 2.2. Generellt tillvägagångssätt De interna testerna genomförs i fyra steg; generell informationsinsamling, sårbarhetsanalys, intrångsförsök samt rapportering och sammanställning. Granskningen av processer inom IT-säkerhet har utförts genom intervjuer med berörda personer samt granskning av ett urval av relevant dokumentation. För informationsinsamling används många olika verktyg och informationskanaler för att kartlägga resurserna. För de externa testerna omfattar det generellt fastställande av förekommande tjänster, applikationer och operativsystem. För de interna testerna omfattar det giltiga användarnamn, domäninformation och förekommande tjänster på servernätverket. Använda verktyg är programvara för portscanning och tjänster för infrastruktur som DNS, WINS, LDAP och SMB. I steg två analyseras insamlad information och tjänster på nätverket inventeras. Program för att identifiera välkända sårbarheter används för att i största möjliga mån effektivisera informationsinsamlingen och en sårbarhetsanalys sker. Denna typ av program orsakar ett stort antal loggaktiviteter och larm i eventuella övervakningssystem, och i detta läge bör helst ett intrångsförsök identifieras om det inte redan skett i steg ett. I steg tre genomförs intrångsförsök, i enlighet med det scenario som tidigare definierats. I vissa fall utnyttjas svaga lösenord för att erhålla obehörig åtkomst eller mer detaljerad information. I andra fall utnyttjas brister i konfiguration eller kända sårbarheter i program för att utnyttja eller överta kontrollen av en dator. 4(6)
Om administrativa behörigheter erhålls verifieras åtkomst till målsystemen, alternativt inloggning till motsvarande applikationer. Fulla behörigheter till målsystemen innebär oftast även att full åtkomst till andra system erhålls. Efter genomförandet analyseras den omfattande insamlade informationen närmare, och används även som bakgrund till granskningen av IT-säkerhetsprocesser. Därefter sammanställs informationen från penetrationstesterna och granskning av rutiner i denna rapport. 2.3. Begränsningar Testerna har begränsats av följande faktorer: Tester har enbart genomförts mot relevant utrustning för att uppnå scenariernas mål. Då ett stort antal system påträffats i det interna nätverket, har tester gjorts på ett begränsat urval av dessa. Tester har, på grund av tidsbegränsningar, skett mot ett urval av de tjänster och system som varit tillgängliga. Det innebär sannolikt att det finns fler brister än de som identifierats och redogörs för i denna rapport. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. Aktiviteter genomförda före eller efter testperioden behandlas enbart till viss del i genomgången av IT-säkerhetsprocesser. För att undvika eventuella driftstörningar har tester inte genomförts där risken för att störa produktion bedömts som hög, såvida inte explicit tillstånd för detta erhållits. 2.4. Möjliga konsekvenser Nedan följer exempel på potentiella konsekvenser av bristande säkerhet i den interna ITmiljön. Brist i integritet. Manipulation av information i databaser som ekonomisystem eller journalsystem. Brist i sekretess. Otillbörlig åtkomst till information i databaser eller på användares arbetsstationer. Brist i tillgänglighet. En illasinnad person skulle kunna påverka tillgängligheten i system genom sabotage. Ett antal tjänster skulle kunna stoppas för en kortare eller längre tid. Att information permanent skulle gå förlorad kan inte uteslutas. 5(6)
3. Iakttagelser och rekommendationer Resultatet av de genomförda testerna har delgivits berörda. 6(6)