IT-säkerhet Externt och internt intrångstest



Relevanta dokument
IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Internt intrångstest

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Granskning av IT-säkerhet - svar

Cyber security Intrångsgranskning. Danderyds kommun

Håbo kommuns förtroendevalda revisorer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

Granskning av räddningstjänstens ITverksamhet

Styrning av behörigheter

Granskning av intern IT - säkerhet. Juni 2017

Intrångstester SIG Security, 28 oktober 2014

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Uppföljningsrapport IT-revision 2013

Granskning av intern kontroll i kommunens huvudboksprocess

Revisionsrapport "Förstudie av kommunens ITorganisation"

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy IT (0:0:0)

FÖRHINDRA DATORINTRÅNG!

IT- och informationssäkerhet

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Uppföljningsrapport IT-generella kontroller 2015

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Informationssäkerhetspolicy

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Säker informationshantering utifrån ett processperspektiv

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport, Granskning av IT- och informationssäkerhet inom Samverkansnämnden

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Projekt inom utvecklingsenheten

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Kommunrevisionen KS 2016/00531

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Övergripande granskning av ITverksamheten

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Jämtlands Gymnasieförbund

Informations- och IT-säkerhet i kommunal verksamhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Säkra trådlösa nät - praktiska råd och erfarenheter

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg.

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Bilaga 3 Säkerhet Dnr: /

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Sundbybergs stad. Granskning av delårsbokslutet 2015

Kundfordringar en uppföljande granskning

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Emmaboda kommun. Granskning av Informationssäkerheten inom Emmaboda kommun. November november 2017

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Sjunet standardregelverk för informationssäkerhet

Datum Kommunrevisionen: Granskning av generalla IT-kontroller 2013

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Granskning av intern kontroll i lönehanteringen

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

POLICY FÖR E-ARKIV STOCKHOLM

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Internkontrollplan

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinjer för informationssäkerhet

HYLTE. Revisionsrapport "Skyddad identitet"

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Revisionsrapport Bisysslor Rutiner för kartläggning och rapportering. Härjedalens kommun

Informationssäkerhetspolicy. Linköpings kommun

Plan för intern kontroll 2014

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER

Informationssäkerhetspolicy för Ånge kommun

Delårsrapport

Hantering av IT-risker

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Granskning av förlorad arbetsinkomst avseende politiker

Transkript:

Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012

Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och omfattning... 4 Metodik... 4 Resultat... 5 Sammanfattande bedömning... 5 2(5)

Inledning Bakgrund Region Halland blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom organisationen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete vilket i hög grad även avser en stor organisation som Region Halland. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Om Region Halland inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera IT- säkerheten finns risker att känslig information, t.ex. personuppgifter, kan läcka ut till obehöriga. Utöver detta finns det även risk för att det uppstår fel i kritiska processer pga. att information är felaktig eller inte finns tillgänglig. Sammantaget kan detta leda till att Region Hallands trovärdighet ifrågasätts såväl som ekonomiska förluster och förlorat anseende. Genom granskning av säkerhet avseende teknik, identifieras eventuella riskområden där skydd av Region Hallands information saknas. Mot bakgrund av detta har Region Hallands revisorer bedömt att en granskning av IT-säkerheten behöver genomföras. Revisionsfråga Granskningens syfte är att identifiera sårbarheter i Region Hallands interna och externa nätverk genom tekniska tester. Följande två revisionsfrågor ska besvaras inom ramen av en intern och extern teknisk säkerhetsgranskning: Är Region Hallands IT-säkerhet ändamålsenlig och tillräcklig när det gäller obehörigt intrång? Uppfyller Region Halland kraven för vad som anses som god praxis gällande teknisk IT-säkerhet? 3(5)

Angreppssätt Syfte och omfattning Syftet med testerna och granskningen var att bedöma Region Hallands interna och externa IT-säkerhet, att identifiera potentiella säkerhetsbrister samt att ge rekommendationer för riskreducerande åtgärder. Vidare har utvärdering och bedömning av system och IT-miljön som helhet genomförts, baserat på observationer under testets genomförande. Uppdraget har utförts i två delar, externa och interna intrångstester. Externt intrångstest I de externa testerna, vilka utfördes från PwC:s säkerhetslaboratorium, granskades Region Hallands tjänster som är nåbara från Internet. Hotbilden som illustreras var en extern så kallad hacker som försöker erhålla åtkomst till intressant information. Internt intrångstest I de interna testerna granskades Region Hallands interna IT-miljö på plats från det ordinarie interna nätverket. Hotbilden som illustreras i dessa tester är exempelvis en missnöjd anställd, konsult eller annan person som får tillgång till ett nätverksuttag i Region Hallands lokaler. Hotbilden är liknande om en persondator drabbas av skadlig kod (exempelvis ett trojanprogram) ansluts till det interna nätverket. Metodik Både de externa och interna testerna genomfördes i fyra steg; generell informationsinsamling, sårbarhetsanalys, intrångsförsök samt rapportering och sammanställning. Ett flertal verktyg användes inledningsvis för att kartlägga resurserna på Region Hallands externa och interna nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Avslutningsvis testades även de identifierade systemen och tjänsterna för eventuella säkerhetsproblem och brister. Detta för att kartlägga och bestämma de olika sätt som systemen kunde angripas på. Efter insamling av information, utarbetades planer för hur det fortsatta arbetet skulle kunna genomföras, i enlighet med de scenarier som tidigare definierats. Under intrångssteget försökte vi erhålla behörighet eller på annat sätt kringgå säkerheten i de testade systemen. Samtliga tester i det första scenariot utfördes via Internet från PwC:s laboratorium i Stockholm. Under det interna scenariot genomfördes testerna från lokaler inom Region Halland, varifrån målsystemen uppsöktes och attackerades. 4(5)

Resultat Mot bakgrund av tekniska detaljer i rapporten har resultatet sammanfattats i en bilaga som är sekretessbelagd med stöd av Offentlighets- och sekretesslagen (2009:400) kapitel 18 paragraf 8. Sammanfattande bedömning Resultatet av de externa och särskilt de interna säkerhetstesterna visar på svagheter i IT-säkerheten, till exempel avseende uppdatering av system, konfiguration av applikationer och lösenordshantering. Positivt är att det finns en övervakningsfunktion som bidrar till att reducera sannolikheten för att ett internt intrång sker oupptäckt. PwC rekommenderar Region Halland att genomföra en riskanalys samt åtgärdsanalys baserat på de i denna rapport angivna iakttagelser och rekommendationer. Fokus bör sättas på att åtgärda de mest kritiska riskerna för att sedan prioritera resterande iakttagelser. De åtgärder som genomförs bör revideras och granskas efter införande för att säkerställa att effekten av åtgärden är uppnådd. Detta kan exempelvis göras genom analys av utförda åtgärder, nya penetrationstester eller manuella kontroller. PwC rekommenderar även en mer omfattande granskning av processer och rutiner inom IT- och informationssäkerhet, med fokus på IT-styrning, programutveckling/programförändring, åtkomstkontroll, datordrift och infrastruktur. Detta kan genomföras genom intervjuer med ansvariga samt analys av policys och styrande dokument. 5(5)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss