IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser



Relevanta dokument
IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Internt intrångstest

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Styrning av behörigheter

Håbo kommuns förtroendevalda revisorer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Cyber security Intrångsgranskning. Danderyds kommun

Granskning av IT-säkerhet - svar

Granskning av räddningstjänstens ITverksamhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Landstingets ärende- och beslutsprocess - uppföljning

Hantering av IT-risker

Informationssäkerhetspolicy inom Stockholms läns landsting

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Granskning av intern IT - säkerhet. Juni 2017

IT- och informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Patientbemötande i vården. Landstinget i Östergötland. Revisionsrapport. Datum

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport Granskning av kontroll av anställdas bisysslor. Landstingsstyrelsen tillstyrker landstingsfullmäktige BESLUTA

Bergslagens kommunalteknik. Nyckelhantering Projektplan. KPMG AB 10 augusti 2016 Antal sidor: 5. Projektplan nyckelhantering.docx

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Intern kontroll och riskbedömningar. Strömsunds kommun

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Kontroll av anställdas bisysslor

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Granskning av intern kontroll

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

Uppföljningsrapport IT-revision 2013

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Projekt inom utvecklingsenheten

Övergripande granskning av ITverksamheten

Intern kontroll och riskbedömningar. Sollefteå kommun

Granskning av intern kontroll i kommunens huvudboksprocess

Bilaga 3 Säkerhet Dnr: /

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Policy för informationssäkerhet

Revisionsrapport "Förstudie av kommunens ITorganisation"

Kundfordringar en uppföljande granskning

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Revisionsrapport Intern kontroll inom Landstinget Dalarna

Informationssäkerhetspolicy för Ystads kommun F 17:01

Arboga kommun. Granskning av investeringsprocessen. Projektplan KPMG AB Antal sidor: 5

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Uppföljande granskning av landstingets strategiska råd och grupper

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Egenkontroll avseende riskhantering

Kommunrevisionen KS 2016/00531

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

LANDSTINGETS REVISORER Norrbottens läns landsting. Arbetsordning. Fastställd

Landstinget Kronoberg

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

I Central förvaltning Administrativ enhet

Säker informationshantering utifrån ett processperspektiv

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Barnperspektiv, förstudie

Granskning av förmånsbilar

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Rätt intäkter - uppföljning

Projekt med extern finansiering styrning och kontroll

Revisionsplan 2014 Landstinget Dalarna

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

LANDSTINGETS REVISORER Norrbottens läns landsting. Revisionsstrategi. Fastställd

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

LANDSTINGETS REVISORER Norrbottens läns landsting. Arbetsordning. Fastställd

Landstingets miljöarbete uppföljning

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

Projektstyrning. Landstinget i Östergötland. Revisionsrapport

Revisionen i finansiella samordningsförbund. seminarium

Intrångstester SIG Security, 28 oktober 2014

Sjunet standardregelverk för informationssäkerhet

Landstingets ärende- och beslutsprocess

Uppföljande granskning av landstingsstyrelsens kontroll över konstföremål

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Revisionsrapport egenkontroll avseende riskhantering fungerar egenkontrollen med verktyget RH-check på ett tillfredsställande sätt?

Revisionsrapport: granskning av kommunens förebyggande arbete avseende psykisk ohälsa hos barn och unga

Uppföljningsrapport IT-generella kontroller 2015

Granskning av landstingets hantering av personuppgifter

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Revisionsredogörelse Stadsrevisionen. Nämnden för arbetsmarknad och vuxenutbildning granskning av verksamhetsåret goteborg.

Revisionsrapport Kommunala kontokort Haparanda stad Bo Rehnberg Cert. kommunal revisor Martin Gandal

Transkript:

Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert Certifierad kommunal revisor 2012-11-28

Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och omfattning... 4 Metodik... 4 Resultat... 5 Sammanfattande bedömning... 5 2(6)

Inledning Revisorerna i Landstinget i Östergötland har beslutat att genomföra en granskning av IT-säkerheten. PwC har fått uppdraget att genomföra granskningen, vilken utförts i form av intrångstester mot delar av landstingets system samt granskning av IT-säkerhetsprocesser. Granskningen har utförts under hösten 2012. Två förtroendevalda revisorer, Eiwor Englund och Bo Lennhammar, har följt granskningen. Granskningen har genomförts i samråd med landstingsfullmäktiges och landstingsstyrelsens ordförande samt landstingsdirektören. Bakgrund Landstinget blir alltmer beroende av sina informationssystem. Ny teknik innebär nya möjligheter men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade, såväl inom landstinget som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. Om landstinget inte har ett väl fungerande säkerhetsarbete och ett strukturerat arbetssätt för att hantera IT- säkerheten finns risker att känslig information, t.ex. personuppgifter, kan läcka ut till obehöriga. Utöver detta finns det även risk för att det uppstår fel i kritiska processer pga. att information är felaktig eller inte finns tillgänglig. Sammantaget kan detta leda till att landstingets trovärdighet ifrågasätts såväl som ekonomiska förluster och förlorat anseende. Genom granskning av säkerhet avseende teknik, identifieras eventuella riskområden där skydd av landstingets information saknas. Mot bakgrund av detta har landstingets revisorer bedömt att en granskning av informations- och ITsäkerheten behöver genomföras. I detta dokument används termen IT-säkerhet för såväl informationssäkerhet som IT-säkerhet. Granskningen genomförs enligt revisionsplan 2012 som baseras på riskbedömning. Revisionsfråga Granskningens syfte är att bedöma om IT-säkerheten, ur ett övergripande perspektiv, är tillräcklig. Följande revisionsfråga ska besvaras: Är landstingets organisation och interna kontroll ändamålsenlig och tillräcklig när det gäller IT-säkerhet med fokus på skydd mot obehörigt intrång? För att besvara granskningens övergripande revisionsfråga har följande kontrollfrågor varit styrande för granskningen: Finns det en adekvat övergripande styrning av informations- och IT-säkerheten? Finns det styrande dokument, såsom policy och riktlinjer för informations- och IT-säkerhet? Finns ändamålsenliga rutiner för behörighet och lösenord? Hanteras icke önskvärda incidenteter på ett ändamålsenligt sätt? Hur är säkerheten avseende intrång av extern aktör? Hur är säkerheten avseende intrång av intern aktör? 3(6)

Angreppssätt Syfte och omfattning Syftet med testerna och granskningen var att bedöma landstingets interna och externa IT-säkerhet, att identifiera potentiella säkerhetsbrister samt att ge rekommendationer för riskreducerande åtgärder. Vidare har utvärdering och bedömning av systemen och IT-miljön som helhet genomförts, baserat på observationer under testernas genomförande. Uppdraget har utförts i tre delar, externa respektive interna intrångstester samt granskning av processer inom IT-säkerhet. Externt intrångstest I de externa testerna, vilka utfördes från PwC:s säkerhetslaboratorium, granskades landstingets tjänster som är nåbara från Internet. Hotbilden som illustreras var en extern så kallad hacker som försöker erhålla åtkomst till intressant information. Internt intrångstest I de interna testerna granskades landstingets interna IT-miljö på plats från det ordinarie interna nätverket. Hotbilden som illustreras i dessa tester är exempelvis en missnöjd anställd, konsult eller annan person som får tillgång till ett nätverksuttag i landstingets lokaler. Hotbilden är liknande om en persondator drabbas av skadlig kod (exempelvis ett trojanprogram) ansluts till det interna nätverket. Granskning av IT-säkerhetsprocesser I denna del av uppdraget granskades processer avseende IT-säkerhet inom landstinget. Granskningen innefattade även viss fokus på det bredare begreppet informationssäkerhet avseende övergripande styrning och styrande dokument. Resultaten från de externa och interna intrångstesterna användes också som bakgrund i de intervjuer som hölls. Metodik Både de externa och interna intrångstesterna genomfördes i fyra steg: hotbildsanalys, generell informationsinsamling, intrångsförsök samt rapportering och sammanställning. Ett flertal verktyg användes inledningsvis för att kartlägga resurserna på landstingets nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Avslutningsvis testades även de identifierade systemen och tjänsterna för eventuella säkerhetsproblem och brister. Detta för att kartlägga och bestämma de olika sätt som systemen kunde angripas på. Efter insamling av information, utarbetades planer för hur det fortsatta arbetet skulle kunna genomföras, i enlighet med de scenarier som tidigare definierats. Under intrångssteget försökte vi erhålla behörighet eller på annat sätt kringgå säkerheten i de testade systemen. Samtliga tester i det första scenariot utfördes via Internet från PwC:s laboratorium i Stockholm. Under det interna scenariot genomfördes testerna från lokaler inom Landstinget i Östergötland, varifrån målsystemen uppsöktes och attackerades. Granskningen av processer inom IT-säkerhet utfördes genom intervjuer med berörda personer samt granskning av ett urval av relevant dokumentation. 4(6)

Resultat Mot bakgrund av tekniska detaljer i rapporten har resultatet sammanfattats i en bilaga som är sekretessbelagd med stöd av Offentlighets- och sekretesslagen (2009:400) kapitel 18 paragraf 8. Sammanfattande bedömning Våra slutsatser är kopplade till de övergripande frågorna som föranlett denna granskning. Följande kontrollfrågor har varit styrande för granskningen. Finns det en adekvat övergripande styrning av informations- och IT-säkerheten? Ja, en övergripande styrning avseende informationssäkerhet är på plats. Dock saknas den formaliserade styrningen avseende informations- och IT-säkerhet inom IT. Finns det styrande dokument, såsom policy och riktlinjer för informations- och IT-säkerhet? Ja, styrande dokument finns för övergripande styrning av informationssäkerhetsarbetet mot verksamheten. Dock saknas dokumenterade policys, rutiner och processer i stor utsträckning inom IT. Finns ändamålsenliga rutiner för behörighet och lösenord? Ja, för vanliga användare finns tydliga rutiner och processer för behörigheter och lösenord etablerade. Dock saknas många dokumenterade rutiner och processer inom IT för hantering av privilegierade konton. Hanteras icke önskvärda incidenteter på ett ändamålsenligt sätt? Ja, rutiner finns för hantering av uppkomna incidenter och de bedöms följas då incidenter uppkommer. Hur är säkerheten avseende intrång av extern och intern aktör? Resultatet av säkerhetstesterna visar på svagheter i IT-säkerheten, till exempel avseende konfiguration av programvaror, uppdateringsrutiner och behörighetskontroll. Positivt är att det finns en övervakningsfunktion som bidrar till att reducera sannolikheten för att ett internt intrång sker oupptäckt. Landstinget bedöms på en övergripande nivå ha en god medvetenhet om behovet av att arbeta med IT- och informationssäkerhet. Dessutom är säkerhetsmedvetandet och ambitionen hos IT-personalen hög, vilket bidrar positivt till framtida IT-säkerhetsarbete. PwC rekommenderar Landstinget i Östergötland att genomföra en riskanalys samt åtgärdsanalys baserat på de i denna rapport angivna iakttagelser och rekommendationer. Fokus bör sättas på att åtgärda de mest kritiska riskerna, särskilt i den interna IT-miljön, för att sedan prioritera resterande iakttagelser. 5(6)

De åtgärder som genomförs bör revideras och granskas efter införande för att säkerställa att effekten av åtgärden är uppnådd. Detta kan exempelvis göras genom analys av utförda åtgärder, nya penetrationstester eller manuella kontroller. PwC anser att landstinget bör överväga att införa ledningssystemet för informationssäkerhet inom IT. Detta arbete kommer att skapa grunden för ett ändamålsenligt informations- och IT-säkerhetsarbete inom IT och underlätta förbättringsarbetet framåt. 6(6)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss