IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser



Relevanta dokument
IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Internt intrångstest

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Granskning av IT-säkerhet - svar

Håbo kommuns förtroendevalda revisorer

Styrning av behörigheter

Cyber security Intrångsgranskning. Danderyds kommun

Granskning av räddningstjänstens ITverksamhet

Förstudie: Övergripande granskning av ITdriften

Riktlinjer för IT-säkerhet i Halmstads kommun

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Granskning av intern kontroll i kommunens huvudboksprocess

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Granskning av intern IT - säkerhet. Juni 2017

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Revisionsrapport. IT-revision Solna Stad ecompanion

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport "Förstudie av kommunens ITorganisation"

Uppföljningsrapport IT-revision 2013

Informationssäkerhetspolicy inom Stockholms läns landsting

Hantering av IT-risker

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Övergripande granskning av IT-driften - förstudie

IT- och informationssäkerhet

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Landstingets ärende- och beslutsprocess - uppföljning

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

FÖRHINDRA DATORINTRÅNG!

Projekt inom utvecklingsenheten

Intern kontroll och riskbedömningar. Strömsunds kommun

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Granskning av intern kontroll

Intrångstester SIG Security, 28 oktober 2014

Informationsöverföring. kommunikation med landstinget - uppföljande granskning

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Informationssäkerhetspolicy för Ånge kommun

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Granskning av intern kontroll

Granskning av intern kontroll

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Temagranskning Patientsäkerhet - sammanfattande rapport. Region Västmanland

Informationssäkerhetspolicy

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Kvalitetsledningsarbetet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Övergripande granskning av ITverksamheten

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Uppföljning av revisionsrapport Kommunala aktivitetsansvaret i Lysekils kommun januari 2019

Ärende- och dokumenthantering

Säker informationshantering utifrån ett processperspektiv

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Intern kontroll och attester

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Internkontrollplan

Granskning av Intern kontroll

Informations- och IT-säkerhet i kommunal verksamhet

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Granskning av utbetalningar

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

Informationssäkerhetspolicy IT (0:0:0)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Uppföljningsrapport IT-generella kontroller 2015

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Granskning av IT-säkerhet

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Anläggningsredovisning

Administrativ säkerhet

Övergripande IT- och informationssäkerhet

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Revisionsrapport Granskning av rutiner för anställningar och förtroendekänsliga poster inom UAK

Granskning av miljö- och hälsoskyddsnämndens interna kontroll avseende faktureringsrutiner

Projekt med extern finansiering styrning och kontroll

ANVISNING Säkerhetsuppdateringar för IT infrastruktur

Revisionsrapport, Granskning av IT- och informationssäkerhet inom Samverkansnämnden

Transkript:

Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013

Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte, omfattning och avgränsning... 4 Metodik... 4 Resultat... 5 Sammanfattande bedömning... 6 2(7)

Inledning Revisorerna i Landstinget i Jönköpings län har beslutat att genomföra en granskning av IT-säkerheten. PwC har fått uppdraget att genomföra granskningen, vilken utförts i form av intrångstester mot delar av landstingets system samt granskning av IT-säkerhetsprocesser. Granskningen har utförts under våren 2013. Bakgrund Landstingen blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom landstinget som med andra intressenter. Ofta används system och applikationer av externa aktörer såväl som att medborgare har tillgång till information som kommer från journalsystem. Ett aktuellt exempel är att det nu i Uppsala går att nå sin journal på nätet och att detta ska lanseras som en nationell tjänst för alla landsting. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Om landstinget inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera ITsäkerheten finns risker att känslig information, t ex personuppgifter, kan läcka ut till obehöriga. Utöver detta finns det även risk för att det uppstår fel i kritiska processer p g a att information är felaktig eller inte finns tillgänglig. Sammantaget kan detta leda till att landstingets trovärdighet ifrågasätts såväl som till ekonomiska förluster och förlorat anseende. Genom granskning av säkerhet avseende teknik, identifieras eventuella riskområden där skydd av landstingets information saknas. Mot bakgrund av detta har landstingets revisorer bedömt att en granskning av informations- och IT-säkerheten behöver genomföras. I detta dokument används termen IT-säkerhet för såväl informationssäkerhet som ITsäkerhet. Revisionsfråga Revisorerna önskar svar på följande revisionsfråga: Är landstingets nuvarande IT-säkerhet tillräcklig och ansvarsförhållanden tydliga för att minimera risker för obehörigt intrång? För att besvara granskningens övergripande revisionsfråga har följande kontrollmål varit styrande för granskningen: Finns det en adekvat övergripande styrning av informations- och IT-säkerheten? Finns det styrande dokument, såsom policy och riktlinjer för informations- och IT-säkerhet? Finns ändamålsenliga rutiner för behörighet och lösenord? Hanteras icke önskvärda incidenteter på ett ändamålsenligt sätt? Hur är säkerheten avseende intrång av extern aktör? Hur är säkerheten avseende intrång av intern aktör? 3(7)

Angreppssätt Syfte, omfattning och avgränsning Syftet med testerna och granskningen var att utvärdera landstingets interna och externa IT-säkerhet, att identifiera potentiella säkerhetsbrister samt att ge rekommendationer för riskreducerande åtgärder. Vidare har utvärdering och bedömning av systemen och IT-miljön som helhet genomförts, baserat på observationer under testets genomförande. Uppdraget har utförts i tre delar, externa respektive interna intrångstester samt granskning av processer inom IT-säkerhet. Externt intrångstest I de externa testerna, vilka utfördes från PwC:s säkerhetslaboratorium, granskades landstingets tjänster som är nåbara från Internet. Hotbilden som illustreras var en extern så kallad hacker som försöker erhålla åtkomst till intressant information. Internt intrångstest I de interna testerna granskades landstingets interna IT-miljö på plats från det ordinarie interna nätverket. Hotbilden som illustreras i dessa tester är exempelvis en missnöjd anställd, konsult eller annan person som får tillgång till ett nätverksuttag i landstingets lokaler. Hotbilden är liknande om en persondator drabbas av skadlig kod (exempelvis ett trojanprogram) ansluts till det interna nätverket. Granskning av IT-säkerhetsprocesser I denna del av uppdraget granskades processer avseende IT-säkerhet inom landstinget. Granskningen innefattade även viss fokus på det bredare begreppet informationssäkerhet avseende övergripande styrning och styrande dokument. Resultaten från de externa och interna intrångstesterna användes också som bakgrund i de intervjuer som hölls. De s.k. intrångstesterna har endast omfattat tester av en begränsad mängd servrar och tjänster. Målsystem, där t ex känslig information behandlas samt vilka IP-adresser som ingår i testerna, har specificerats i detalj under uppdragets första fas. Metodik Både de externa och interna intrångstesterna genomfördes i fyra steg: hotbildsanalys, generell informationsinsamling, intrångsförsök samt rapportering och sammanställning. Ett flertal verktyg användes inledningsvis för att kartlägga resurserna på landstingets nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Avslutningsvis testades även de identifierade systemen och tjänsterna för eventuella säkerhetsproblem och brister. Detta för att kartlägga och bestämma de olika sätt som systemen kunde angripas på. Efter insamling av information, utarbetades planer för hur det fortsatta arbetet skulle kunna genomföras, i enlighet med de scenarier som tidigare definierats. Under intrångssteget försökte vi erhålla behörighet eller på annat sätt kringgå säkerheten i de testade systemen. Samtliga tester i det första scenariot utfördes via Internet från PwC:s laboratorium i Stockholm. Under det interna scenariot genomfördes testerna från lokaler inom Landstinget i Jönköpings län, varifrån målsystemen uppsöktes och attackerades. Granskningen av processer inom IT-säkerhet utfördes genom intervjuer med berörda personer samt granskning av ett urval av relevant dokumentation. Följande roller intervjuades: IT-direktör, Områdeschef Systemförvaltning, Drift- och IT-säkerhetschef, Teamledare Systemutveckling, Enhetschef Applikation och infrastruktur samt Enhetschef Kundcenter. De huvuddokument som ingått i granskningen av IT-processer är: 4(7)

Riktlinjer för informationssäkerhet, Krisplan för IT-centrum, Systemförvaltningsplan, samt processbeskrivningar inom ett antal område. Rapporten har sakgranskats av berörda tjänstemän. Resultat Mot bakgrund av tekniska detaljer i rapporten har resultatet sammanfattats i en bilaga som är sekretessbelagd med stöd av sekretesslagen 2009:400 kapitel 18 paragraf 8. 5(7)

Sammanfattande bedömning Våra slutsatser är kopplade till de övergripande frågorna som föranlett denna granskning. Följande kontrollfrågor har varit styrande för granskningen. Finns det en adekvat övergripande styrning av informations- och IT-säkerheten? Ja, en övergripande styrning avseende informations- och IT-säkerhet finns på plats med processer, rutiner och dokumentation som stöd. Finns det styrande dokument, såsom policy och riktlinjer för informations- och IT-säkerhet? Ja, styrande dokument finns för övergripande styrning mot verksamheten avseende informations- och IT-säkerhet. Landstingets riktlinjer för informationssäkerhet är baserad på Ledningssystem för informationssäkerhet SS-ISO 17799. Riktlinjerna är under uppdatering för att säkerställa att kraven enligt patientdatalagen tas i beaktan. Finns ändamålsenliga rutiner för behörighet och lösenord? Ja, för vanliga användare finns tydliga och etablerade processer samt rutiner för hantering av behörigheter och lösenord. Dock bör rutiner för uppföljning av behörighetsnivåer kring priviligierade konton såsom användare med administrativa rättigheter stärkas (vilket noterats vid den tekniska säkerhetsgranskningen). Hanteras icke önskvärda incidenteter på ett ändamålsenligt sätt? Ja, etablerade och ändamålsenliga rutiner finns för hantering och uppföljning av incidenter. Landstinget har även en etablerad problemprocess för uppföljning och analys av uppkomna incidenter. Hur är säkerheten avseende intrång av extern och intern aktör? Resultatet av intrångstesterna visar tydligt vad effekterna av de identifierade bristerna i IT-säkerheten medför. Genom bristande rutiner kring säkerhetsuppdateringar, behörighetskontroll och konfiguration når landstinget inte upp till en adekvat IT-säkerhetsnivå avseende skydd mot obehörigt intrång. Positivt är att det finns en övervakningsfunktion som bidrar till att reducera sannolikheten för att ett intrång sker oupptäckt. Är landstingets nuvarande IT-säkerhet tillräcklig och ansvarsförhållanden tydliga för att minimera risker för obehörigt intrång? Vi bedömer att det finns en övergripande styrning avseende informations- och IT-säkerhet. Det finns tillräckliga processer, rutiner och dokumentation som stöd för detta. Dock visar resultatet av intrångstesterna en del svagheter i den tekniska IT-säkerheten. Landstinget bedöms på en övergripande nivå ha en god medvetenhet om behovet av att arbeta med IT- och informationssäkerhet. Dessutom är säkerhetsmedvetandet och ambitionen hos IT-personalen hög, vilket bidrar positivt till framtida förbättringsarbete avseende IT-säkerhet. PwC rekommenderar landstinget att fortsätta och följa upp genomförd riskanalys samt åtgärdsanalys baserat på de i denna rapport angivna iakttagelser och rekommendationer. Fokus bör vara att åtgärda de mest kritiska riskerna, särskilt i den interna IT-miljön, för att sedan prioritera resterande iakttagelser. De åtgärder som genomförs bör revideras och granskas efter införande för att säkerställa att effekten av åtgärden är uppnådd. Detta kan exempelvis göras genom analys av utförda åtgärder, nya penetrationstester eller manuella kontroller. 6(7)

2013-09-10 Kerem Kocaer Projektledare Jean Odgaard Uppdragsledare 7(7)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss