REVISIONSRAPPORT. Grundläggande IT-säkerhet. Landstinget Halland. Februari 2003. Rolf Aronsson. Telefon: 031-61 96 66, 070-554 28 42

REVISIONSRAPPORT Grundläggande IT-säkerhet Landstinget Halland Februari 2003 Rolf Aronsson Telefon: 031-61 96 66, 070-554 28 42 Anders Personsgatan 12, 416 64 Göteborg E-post: rolf.aronsson@komrev.se www.pwcglobal.com/se www.komrev.se

2 Innehållsförteckning 1. SAMMANFATTNING AV SYNPUNKTER OCH ÖVERVÄGANDEN...4 1.1 Allmänt...4 1.2 Policy och andra styrdokument/säkerhetsorganisation...4 1.3 Klassificering och kontroll av tillgångar...5 1.4 Personal och säkerhet...5 1.5 Fysisk och miljörelaterad säkerhet...5 1.6 Kommunikation och drift...6 1.7 Styrning av åtkomst...6 1.7.1 Identifiering och åtkomstkontroll - samlad bedömning...6 1.7.2 Loggning och uppföljning - sammanvägd bedömning...6 1.8 Avbrottsplanering och reservrutiner...6 1.9 Efterlevnad uppföljning och kontroll...7 2. UPPDRAG OCH GENOMFÖRANDE...7 3. NULÄGESBESKRIVNING, ANALYS OCH BEDÖMNINGAR...9 3.1 Policy och andra styrdokument...9 3.1.1 Centrala styrdokument:...9 3.1.2 Övriga styrande dokument...10 3.1.3 Pågående projekt Ledningssystem för informationssäkerhet...10 3.1.4 Sammanvägd bedömning...10 3.2 Säkerhetsorganisation...10 3.2.1 Sammanvägd bedömning...11 3.3 Klassificering och kontroll av tillgångar...11 3.3.1 Sammanvägd bedömning...11 3.4 Personal och säkerhet...11 3.4.1 Sammanvägd bedömning...12 (2)

3 3.5 Fysisk och miljörelaterad säkerhet...12 3.5.1 Datormiljöer och lokala nätverk (Fastighetsnät)...12 3.5.2 Sammanvägd bedömning...14 3.6 Kommunikation och drift...14 3.6.1 Sammanvägd bedömning...15 3.7 Styrning av åtkomst...16 3.7.1 Identifiering och åtkomstkontroll - samlad bedömning...16 3.7.2 Loggning och uppföljning - sammanvägd bedömning...17 3.8 Avbrottsplanering och reservrutiner...18 3.8.1 Sammanvägd bedömning...18 3.9 Efterlevnad uppföljning och kontroll...19 (3)

4 1. Sammanfattning av synpunkter och överväganden 1.1 Allmänt IT-säkerheten inom Landstinget Halland är mycket hög och det finns en medvetenhet hos ledningen och ansvarig personal kring behovet av säkerhet. De synpunkter som har framförts i tidigare granskningar av IT-säkerheten inom landstinget har åtgärdats eller kommer att åtgärdas i det projektarbete kring ledningssystem för informationssäkerhet som pågår inom landstinget. I vår analys har vi dock funnit områden där vi har framfört synpunkter som syftar till att ytterligare förstärka säkerhetsnivån. 1.2 Policy och andra styrdokument/säkerhetsorganisation Administrativ säkerhet är grunden för hög IT-säkerhet i verksamheten. Tydligt ledningsansvar, policy och riktlinjer och säkerhetsplaner är basen för ett strukturerat arbetssätt. Det finns tydliga och fastlagda styrdokument både på politisk nivå (IS/IT-policy) och på operativ ledningsnivå (IS/IT-strategi). Dessa lägger fast mål och strategi och är grundläggande för.användningen och utvecklingen av IS/IT inom landstinget. Pågående projekt med att ta fram processer och rutiner för ett ledningssystem för informationssäkerhet visar också på höga ambitioner att utveckla säkerheten inom landstinget. (4)

5 IT-organisationen - inklusive ansvar för IS/IT-säkerheten är väl beskriven i strategin och i det förslag kring Ansvar, befogenheter och organisation som projektgruppen för informationssäkerhet har tagit fram. Ansvaret följer väl linjeorganisationen med tydlig samordningsorganisation. 1.3 Klassificering och kontroll av tillgångar Klassificering och kontroll av tillgångar är erfarenhetsmässigt dåligt utvecklat i dom flesta organisationer trots att detta är grundläggande för en bra informationssäkerhet enkelt kan man säga att det handlar om att man vet vad man skall skydda och varför. Inom landstinget finns idag ingen klassificering av tillgångar vad vi kunnat finna utöver givetvis en grov klassificering av vad som är sekretessbelagd information (patientjournaler m.m.) och vad som är öppen och offentlig information. I projektet informationssäkerhet finns dock en tydlig ansats att skapa riktlinjer kring klassificering och kontroll av tillgångar. Enligt vår uppfattning bör detta område prioriteras. 1.4 Personal och säkerhet Enligt vår uppfattning så är krav och rutiner vid hanteringen av sekretess både vad gäller egen personal och konsulter tillfredställande. I våra intervjuer har behovet av utvidgad personkontroll för exempelvis IT-tekniker med hög kompetens och höga rättigheter diskuterats. Vi tar inte tagit ställning varken vad gäller de rättsliga möjligheterna eller behovet, men vi anser att frågan bör diskuteras och prövas genom analys av risker etc. 1.5 Fysisk och miljörelaterad säkerhet Skyddsnivån vid datorhallarna i länssjukhuset och Sjukhuset i Varberg är mycket hög. Regler och rutiner för loggning av personal som besöker datorhallarna bör ses över och dokumenteras. Dokumenterade regler och rutiner bör upprättas för säker avveckling eller återanvändning av utrustning både vad gäller servrar och nätanslutna arbetsstationer. Om icke nätanslutna persondatorer hanterar känslig information bör regelverket även omfatta dessa. Det finns idag ett antal lokala datorrum med applikationsservrar som hanterar känslig information, vilket tydligt framgår av serverförteckning enligt bilaga 1. Vi har inte gjort någon analys av skyddsnivåerna, men har fått indikationer på att det fysiska skyddet varierar. Det är heller inte möjligt - bl.a. av ekonomiska skäl - att upprätthålla samma skyddsnivå som i centrala datorhallar. (5)

6 Vi rekommenderar att man inom landstinget intensifierar processen att överföra så många servrar som möjligt till centrala datorhallar. Framförallt bör detta i första hand gälla servrar som hanterar känslig och sekretessbelagd information. 1.6 Kommunikation och drift Eftersom genomgången är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering så görs ingen heltäckande bedömning. Vid intervjuer har vi också diskuterat andra delar inom kommunikation och drift, men vi har valt att inte närmare kommentera detta i denna rapport. Vi konstaterar också att området kommunikation och drift kommer att prioriteras i projektgruppen för informationssäkerhet. Dokumenterade riktlinjer och rutiner för säkerhetskopiering bör upprättas och omfatta samtliga datorhallar och lokala servrar i landstinget. 1.7 Styrning av åtkomst 1.7.1 Identifiering och åtkomstkontroll - samlad bedömning Sammanvägt kan vi konstatera att säkerhetsnivån vid åtkomst av landstingets nätverk är relativt hög. Det finns dock anledning att projektgruppen för informationssäkerhet prioriterar detta område för att därigenom skapa tydliga och enhetliga riktlinjer inom landstinget. Vår analys skall också betraktas som mycket översiktlig och har inte behandlat behovet i nätverk och enskilda system av mer avancerade åtkomstskydd aktiva kort, PIN-koder, krav i patientjournallag m.m. 1.7.2 Loggning och uppföljning - sammanvägd bedömning Inom landstinget sker omfattande loggning av säkerhetshändelser i inloggningsservrar, mailservrar och brandväggar m.m. I olika system finns också behov av behandlingshistorik för att i efterhand kunna följa upp vem som har gjort vad och när i systemen. Vi har inte närmare granskat förekomsten av loggar och behandlingshistorik i olika system utan konstaterar att det viktigaste i nuläget är att man gemensamt i landstinget skapar riktlinjer och föreskrifter för hur loggning och behandlingshistorik skall ske i framtiden. 1.8 Avbrottsplanering och reservrutiner Vi har inte genomfört någon systematisk granskning av avbrottsplaner och reservrutiner, men konstaterar att det finns olika synsätt inom landstinget. Det finns därför anledning att genomföra risk- och sårbarhetsanalyser för olika system för att finna lämpliga nivåer i reservoch handlingsplaner. Framförallt gäller detta vid händelser som innebär mycket långa avbrott. (6)

7 1.9 Efterlevnad uppföljning och kontroll Vi har inte genomfört någon specifik granskning inom detta område. I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av IT-säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Som exempel på områden kan nämnas; tillämpning av personuppgiftslagen, missbruk av E-post eller sökningar på Internet 1 och följsamhet till patientjournallagen i vårdadministrativa system. 2. Uppdrag och genomförande Granskningen har genomförts på uppdrag av landstingets revisorer och syftar övergripande till en bedömning av om IT-säkerheten är tillfredsställande inom landstinget utifrån krav i lagstiftning och förordningar, god IT-sed samt intern IT-säkerhetspolicy och framtagna riktlinjer. Granskningen har också omfattat en uppföljning av tidigare övergripande granskning av ITsäkerheten med utgångspunkt från rapport Övergripande analys av IT-säkerheten, daterad 1998-04-24 och dels landstingets svar daterat 1998-09-29. I uppdraget ingår också att efter riskanalys lämna förslag till fördjupade insatser. Dessa har lämnats i separat rapport till landstingets revisorer. Genomförandet har skett genom studier av dokument, intervjuer i grupp och enskilt samt utvärdering och verifiering av skyddsnivåer och förslag till åtgärder. Intervjuer har gjorts med IT-direktör, IT-säkerhetsansvarig och Teknikansvarig vid Landstingets IT-avdelning samt med IT-ansvariga och IT-säkerhetsansvariga vid Länssjukhuset och Sjukhuset i Varberg samt vid Primärvårdsförvaltningen i Varberg. 1 Enligt uppgift finns ett uppdrag till IT-ansvariga från landstingsledningen att stickprovsmässigt granska Internetloggar som skapas i s.k. proxyserver vid sökningar på Internet. Anmälan om missbruk skall göras till berörd verksamhetschef. (7)

8 Granskningen har genomförts med ett synsätt som innebär att IT-säkerheten är en del av informationssäkerheten 2 och övrig säkerhet inom landstinget. IT-säkerheten är en del av den totala säkerheten Samverkan, ledning och styrning med övrig säkerhet och riskhantering Total säkerhet Inform ationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Komm unikationssäkerhet Krav på IT-säkerhet fastställs av olika intressenter samt i olika lagstiftningar bl.a. sekretesslagen och personuppgiftslagen. Kraven kan sammanfattas i olika områden: Sekretess säkerställande av att informationen är tillgänglig endast för dem som har behörighet för åtkomst. Riktighet skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga. Tillgänglighet säkerställande av att behöriga användare vid behov har tillgång till informationen och tillhörande tillgångar. Även spårbarhet är viktigt för hög IT-säkerhet, d.v.s att registrering av avvikelser och andra säkerhetsrelevanta händelser täcker krav på tillförlitlighet och bevisbarhet. 2 Informationssäkerhet omfattar skydd av all information inom en organisation. Som exempel kan nämnas: pappersdokument, fax, e-post, visad på film eller talad. 2 I vår bedömning av krav och skyddsnivåer utgår vi från svensk standard kring ledningssystem för informationssäkerhet (SS-ISO/IEC 17799). (8)

9 I rapporten beskrivs olika områden som är viktiga för att uppnå en hög säkerhet. I vissa avsnitt har vi medvetet valt en låg detaljeringsgrad i beskrivning av skyddsnivåer vid ITavdelningen eller vid granskade förvaltningar. 3. Nulägesbeskrivning, analys och bedömningar 3.1 Policy och andra styrdokument En IT-säkerhetspolicy skall spegla ledningens viljeinriktning. Policyn bör bl.a. definiera mål, organisation och ansvar samt principer kring genomförandet av säkerhetsarbetet i landstinget. Med utgångspunkt från policyn bör det också finnas strategier och riktlinjer på ledningsnivå samt föreskrifter och dokumenterade rutiner. 3.1.1 Centrala styrdokument: IS/IT-policy, som är antagen av landstingsstyrelsen i september 2001. Denna slår fast på vilket sätt informationssystem (IS), informationsteknik (IT), kommunikation, säkerhet och sekretess ska utvecklas och drivas inom Landstinget Halland. I policyn finns också tydliga mål för IT-verksamheten inklusive att Ledning och styrning av IS/IT-utvecklingen skall ske enligt landstingets IS/IT-strategi. IS/IT 3 -strategin är baserad på IS/IT-policyn och lägger fast att den strategiska inriktningen och utvecklingen av IS/IT är en ledningsfråga. IS/IT skall vara ett stöd för verksamheten och ge utrymme för nytänkande samt bidra till verksamhetsutveckling. Strategin beskriver för övrigt följande områden: o Organisation och ansvar o System, kommunikation och information o Säkerhet och integritet o Drift, teknik och förvaltning 3 Med IS/IT beskrivs i strategin avses system och teknik för insamling, bearbetning, återfinnande samt kommunikation och presentation av data (text, bild och tal). I begreppet IS/IT ingår även säkerhet och sekretess. (9)

10 o Ekonomi och effektivitet Strategin bifogas i bilaga 3. 3.1.2 Övriga styrande dokument Inom landstinget finns ett flertal styrande dokument, exempelvis policy och föreskrifter vid länssjukhuset och Sjukhuset i Varberg och övriga förvaltningar. Dessa kommenteras i förekommande fall under respektive område nedan. Policy och andra styrdokument kommer också att inarbetas i det projekt som pågår för att ta fram ett Ledningssystem för informationssäkerhet. 3.1.3 Pågående projekt Ledningssystem för informationssäkerhet Inom landstinget pågår ett omfattande projekt för att utveckla ett ledningssystem för informationssäkerhet med tydliga beskrivningar av processer och rutiner. Projektarbetet bedrivs utifrån svensk standard Ledningssystem för informationssäkerhet (SS-ISO/IEC 17799). I bilaga 4 beskrivs arbetets omfattning och inriktning i Förslag till Ledningssystem för informationssäkerhet. I vår analys utgår vi från samma modell för standard kommentarer görs därför under olika avsnitt i rapporten. 3.1.4 Sammanvägd bedömning Det finns tydliga och fastlagda styrdokument både på politisk nivå (IS/IT-policy) och på operativ ledningsnivå (IS/IT-strategi). Dessa lägger fast mål och strategi och är grundläggande för.användningen och utvecklingen av IS/IT inom landstinget. Pågående projekt med att ta fram processer och rutiner för ett ledningssystem för informationssäkerhet visar också på höga ambitioner att utveckla säkerheten inom landstinget. 3.2 Säkerhetsorganisation Informationssäkerheten är en del av verksamhetsansvaret och bör därför följa linjeorganisationen. Utöver tydligt ansvar på nämnd/förvaltningsnivå bör det finnas en samordningsfunktion för hela landstinget. IT-organisationen beskrivs tydligt i IS/IT-strategin (bilaga 1). Dessutom har man i projektet informationssäkerhet som ett första steg tagit fram ett förslag Område 1.104 Ansvar, befogenheter och organisation. Detta återfinns i bilaga 5 och är också ett exempel på hur områden inom Ledningssystem för informationssäkerhet kommer att utformas. (10)

11 3.2.1 Sammanvägd bedömning IT-organisationen - inklusive ansvar för IS/IT-säkerheten är väl beskriven i strategin och i det förslag kring Ansvar, befogenheter och organisation som projektgruppen för informationssäkerhet har tagit fram. Ansvaret följer väl linjeorganisationen med tydlig samordningsorganisation. 3.3 Klassificering och kontroll av tillgångar En väsentlig grund för en hög säkerhet är att landstingets tillgångar är förtecknade och klassificerade utifrån behovet av skyddsnivå. Med tillgångar avses här information 4, program 5, fysiska tillgångar 6 och tjänster 7. 3.3.1 Sammanvägd bedömning Klassificering och kontroll av tillgångar är erfarenhetsmässigt dåligt utvecklat i dom flesta organisationer trots att detta är grundläggande för en bra informationssäkerhet enkelt kan man säga att det handlar om att man vet vad man skall skydda och varför. Inom landstinget finns idag ingen klassificering av tillgångar vad vi kunnat finna utöver givetvis en grov klassificering av vad som är sekretessbelagd information (patientjournaler m.m.) och vad som är öppen och offentlig information. I projektet informationssäkerhet finns dock en tydlig ansats att skapa riktlinjer kring klassificering och kontroll av tillgångar. Enligt vår uppfattning bör detta område prioriteras. 3.4 Personal och säkerhet Målet är att minska riskerna för mänskliga misstag, missbruk av tillgångar och att skapa garantier för hög följsamhet till lagar och egna bestämmelser inom landstinget. En viktig del är att all personal som hanterar eller kan komma åt känslig information skriver under en särskild sekretessförbindelse. Inom landstinget skriver all personal under en blankett 4 Databaser, filer, systemdokumentation, användarmanualer, utbildningsmaterial, drift- och servicerutiner, avbrottsplaner, arkiverade data och information. 5 Tillämpnings- och systemprogram, utvecklingsprogram och hjälpprogram. 6 Datautrustning, kommunikationsutrustning, magnetmedia och annan teknisk utrustning. 7 Bearbetnings- och kommunikationstjänster och andra tjänster. (11)

12 som intygar att man har tagit del av dokumentet NETIKETT (Riktlinjer för användning och handhavande av Landstingets Hallands IS/IT-system). Detta dokument hanterar förutom flera områden också sekretess inom landstinget. Konsulter och extern servicepersonal som kan komma åt känslig information undertecknar också en särskild sekretessförbindelse. 3.4.1 Sammanvägd bedömning Enligt vår uppfattning så är krav och rutiner vid hanteringen av sekretess både vad gäller egen personal och konsulter tillfredställande. I våra intervjuer har behovet av utvidgad personkontroll för exempelvis IT-tekniker med hög kompetens och höga rättigheter diskuterats. Vi tar inte tagit ställning varken vad gäller de rättsliga möjligheterna eller behovet, men vi anser att frågan bör diskuteras och prövas genom analys av risker etc. 3.5 Fysisk och miljörelaterad säkerhet Målet med säkrade utrymmen för datorer och annan utrustning är att förhindra obehörigt tillträde och störningar i landstingets lokaler och information. 3.5.1 Datormiljöer och lokala nätverk (Fastighetsnät) Datordrift bedrivs på flera ställen inom landstinget. Datorhallar finns Länssjukhuset i Halmstad, Sjukhuset i Varberg och vid datorhotellet i TietoEnator i Halmstad. Dessutom finns ett antal lokala serverrum inom primärvården och vid enskilda kliniker. I bilaga 1 finns förteckning över servrar och i bilaga 2 förteckning över applikationer som körs i olika servermiljöer. I våra intervjuer med IT-ansvariga och IT-säkerhetsansvariga har bl.a. följande frågeställningar diskuterats. Är skalskyddet för landstingets datorrum fysiskt heltäckande? D.v.s. det får inte finnas luckor i skalskyddet där inbrott kan ske. Ytterväggar och dörrar (inom skalskyddat rum) måste ha en solid konstruktion samt lämpligt skydd mot obehörigt tillträde, t.ex. kodlås, galler, larm och lås. Är säkrade (skalskyddade) utrymmen skyddade genom avvägda tillträdeskontroller så att endast behörig personal får tillträde? Övervakas besökare (servicepersonal m.fl.) i tillräcklig omfattning? (12)

13 Finns system (kodlås) installerat som loggar alla besök i datorrum eller annat skyddsklassat utrymme? Är loggarna skyddade mot förändring samt med säker förvaring? Är skyddade lokaler larmade (inbrott och brand) med koppling till larmcentral? Har någon bedömning av insatstiden genomförts? Finns flera oberoende matningsvägar för elförsörjningen? Finns utrustning för avbrottsfri elförsörjning (UPS)? Har någon riskanalys genomförts vad gäller skydd av el- och telekablar? Finns väl avvägda avtal om service och underhåll för att garantera driften? Finns dokumenterade regler och rutiner för säker avveckling eller återanvändning av utrustning (servrar och nätanslutna arbetsstationer)? Sammanfattning av genomgången Datorhallarna vid Länssjukhuset och Sjukhuset i Varberg har mycket hög säkerhetsnivå. Placeringen av hallarna innebär en mycket hög skyddsnivå med bra skalskydd och ytterväggar och dörrar av solid konstruktion. Det finns också mycket avancerad automatisk släckningsutrustning vid bägge datorhallarna. Tillträdesskyddet är mycket högt ett fåtal personer har tillträde genom särskilda kort och nycklar. Konsulter och servicepersonal som besöker datorrummen övervakas. När det gäller loggning av personal som besöker datorrummen finns idag viss skillnad. Vid länssjukhuset sker loggning samt särskild besöksliggare. I Varberg sker idag enligt uppgift ingen loggning eller besöksliggare detta är dock något som diskuteras och som kommer att införas. Larm som indikerar brand och inbrott med koppling till larmcentraler finns vid samtliga datorhallar. Det finns flera oberoende matningsvägar för elförsörjningen. Exempelvis sker elförsörjning vid landssjukhuset från tre olika håll. Dessutom utrustning för avbrottsfri elförsörjning (UPS). (13)

14 Rutiner finns för avveckling av media som hanterar känslig information, d.v.s. i första hand hårddiskar och band med patientrelaterad information. Dessa förstörs (slås sönder eller borras) innan dom lämnar sjukhuset. Vi har dock inte kunnat återfinna någon dokumentation. Inom primärvårdsförvaltningarna finns lokalt placerade s.k. fileservrar och applikationsservrar. Patientjournalsystemet BMS körs på central server placerad vid länsjukhuset. Vid vårdcentralerna finns i viss utsträckning fileservrar. Vid tandvården finns lokala servrar i viss utsträckning som hanterar applikationen OPUS. Enligt uppgift finns dessa i låsta utrymmen som är larmade. 3.5.2 Sammanvägd bedömning Skyddsnivån vid datorhallarna i länssjukhuset och Sjukhuset i Varberg är mycket hög. Regler och rutiner för loggning av personal som besöker datorhallarna bör ses över och dokumenteras. Dokumenterade regler och rutiner bör upprättas för säker avveckling eller återanvändning av utrustning både vad gäller servrar och nätanslutna arbetsstationer. Om icke nätanslutna persondatorer hanterar känslig information bör regelverket även omfatta dessa. Det finns idag ett antal lokala datorrum med applikationsservrar som hanterar känslig information, vilket tydligt framgår av serverförteckning enligt bilaga 1. Vi har inte gjort någon analys av skyddsnivåerna, men har fått indikationer på att det fysiska skyddet varierar. Det är heller inte möjligt - bl.a. av ekonomiska skäl - att upprätthålla samma skyddsnivå som i centrala datorhallar. Vi rekommenderar att man inom landstinget intensifierar processen att överföra så många servrar som möjligt till centrala datorhallar. Framförallt bör detta i första hand gälla servrar som hanterar känslig och sekretessbelagd information. 3.6 Kommunikation och drift Kommunikation och drift är ett omfattande och i flera avseenden komplicerat tekniskt område. I landstingets nät hanteras en komplex datakommunikation som knyter samman olika enheter och förvaltningar oberoende av geografiskt läge. Dessutom finns en omfattande integrering mellan olika system, vilket innebär informationsöverföring i mycket stor omfattning. Vår genomgång är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering. (14)

15 Virusskyddet hanteras centralt inom landstinget. och består av flera delar; lokalt på samtliga arbetsstationer, på servrar, i brandväggen och på mailservrarna. I arbetsstationerna används McAfee Virusscan. Uppdatering sker genom att en server hämtar dat-filer ibland flera gånger per dygn. Arbetsstationerna hämtar sedan filen med automatik. På servrarna heter programvaran NetShield och fungerar på samma sätt som för arbetstationerna. I mailservrarna heter programmet Groupshield som skannar utgående mail. En gång per vecka så skannas samtliga brevlådor. I brandväggen finns ett program som heter Webshield som skannar alla externa mail. Vi har genom intervjuer analyserat säkerhetskopieringen vid länssjukhuset och Sjukhuset i Varberg. Kopieringen sker automatiskt med hjälp av s.k. bandrobotar som finns i säkrade och larmade utrymmen. Säkerhetskopiorna förvaras i särskilda väl skyddade utrymmen. Backuptagningen registreras också i särskild databas (länssjukhuset) med möjlighet att styra bl.a. återläsningar. För lokala servrar sker säkerhetskopieringen lokalt enligt uppgift efter särskilda schema (dagvecko-, månadsband etc). Dokumentation som tydligt beskriver regler och rutiner finns vid några förvaltningar, men saknas vid andra. Det finns således ingen samlad dokumentationen för samtliga datorhallar och lokala serverrum. Rutiner för incidenthantering finns och är dokumenterad. Det finns särskild blankett s.k. avvikelserapport. Enligt uppgift så pågår upphandling av ett nytt IT-system för avvikelsehantering som skall hantera brand, säkerhet, miljö och drift. Incidenthanteringen omfattar samtliga störningar inom landstinget. 3.6.1 Sammanvägd bedömning Eftersom genomgången är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering så görs ingen heltäckande bedömning. Vid intervjuer har vi också diskuterat andra delar inom kommunikation och drift, men vi har valt att inte närmare kommentera detta i denna rapport. Vi konstaterar också att området kommunikation och drift kommer att prioriteras i projektgruppen för informationssäkerhet. Dokumenterade riktlinjer och rutiner för säkerhetskopiering bör upprättas och omfatta samtliga datorhallar och lokala servrar i landstinget. (15)

16 3.7 Styrning av åtkomst Målet är att skydda nätverk, system, databaser och information mot obehörig åtkomst eller utnyttjande. Eftersom det fysiska skyddet blir alltmer utvecklat så flyttas fokus alltmer mot den logiska säkerheten, d.v.s. åtkomstskydd av information i nätverk, program och databaser. I detta sammanhang är det därför viktigt att ha ett väl utbyggt behörighetskontrollsystem. Den hierarkiska uppbyggnaden kan beskrivas på följande sätt: Uppbyggnad av behörighetskontrollsystem Behörighetskontrollsystem Identifiering Å tkom stk ontroll Loggning T illgån g till funktioner Tillgång till lagrade data Datain tegritet U tnyttjand e Spårbarhet Begreppsförklaringar: Identifiering sker genom uppgivande av identitet samt att systemet verifierar äktheten. Åtkomstkontrollen skall styra tillgången till ett systems samtliga resurser, som omfattar både data, program, skrivare, kommunikationsmöjligheter m m. Loggning omfattar både säkerhetshändelser (ex vis åtkomstförsök med felaktigt lösenord) och s k behandlingshistorik (vem har gjort vad, när och hur) i enskilda system. Dataintegritet definieras som informationssystemets förmåga att förhindra att lagrade data förvanskas genom bl a kontroll av riktighet, signering samt möjlighet att återskapa varje version av informationen. Vår genomgång omfattar styrning av åtkomst till nätverket i landstinget. Vi har inte analyserat behörighetskontrollerna till enskilda system. 3.7.1 Identifiering och åtkomstkontroll - samlad bedömning När det gäller åtkomst av nätverket är säkerhetsnivån relativt god med bl.a. krav på regelbundna byte av lösenord (63 dagar), utspärrning efter 3 försök med felaktigt lösenord. Krav på antal tecken i lösenord är 6 tecken. Lösenord skall vara unika och använt lösenord skall inte kunna återanvändas. Idag kommer systemet ihåg 6 lösenord bakåt i tiden. (16)

17 Systemet (NT) ställer idag inga krav på format av lösenord, men det finns en tydlig rekommendation att lösenord skall innehålla en kombination av alfabetiska och numeriska tecken. Det finns i viss utsträckning s.k. gruppidentiteter med mycket begränsad åtkomst till nätverket. Dessa används av ambulerande personal inom landstinget. Uppläggning av nya identiteter görs på förvaltningsnivå. Särskilda blanketter finns för beställning av behörigheter. Beställningen skrivs under av respektive verksamhetschef. Vid länssjukhuset sker också underskrift av den som ansöker om identiteten. Av blanketten framgår också vilken behörighet som skall tilldelas, exempelvis tillgång till patientjournalsystem (PAS, Svedstar m.fl.). I dag finns något olika tillämpningar: Länssjukhuset sparar samtliga blanketter. Sjukhuset i Varberg sparar inte blanketterna efter att registrering har skett. Innehavaren av identiteten skriver inte heller under beställningen eller kvitterar mottagandet. Sammanvägt kan vi konstatera att säkerhetsnivån vid åtkomst av landstingets nätverk är relativt hög. Det finns dock anledning att projektgruppen för informationssäkerhet prioriterar detta område för att därigenom skapa tydliga och enhetliga riktlinjer inom landstinget. Vår analys skall också betraktas som mycket översiktlig och har inte behandlat behovet i nätverk och enskilda system av mer avancerade åtkomstskydd aktiva kort, PIN-koder, krav i patientjournallag m.m. 3.7.2 Loggning och uppföljning - sammanvägd bedömning Inom landstinget sker omfattande loggning av säkerhetshändelser i inloggningsservrar, mailservrar och brandväggar m.m. I olika system finns också behov av behandlingshistorik för att i efterhand kunna följa upp vem som har gjort vad och när i systemen. Vi har inte närmare granskat förekomsten av loggar och behandlingshistorik i olika system utan konstaterar att det viktigaste i nuläget är att man gemensamt i landstinget skapar riktlinjer och föreskrifter för hur loggning och behandlingshistorik skall ske i framtiden. Vad vi kan finna så saknas riktlinjer/föreskrifter för loggning och behandlingshistorik i nuläget. Loggning och uppföljning av olika händelser har stor betydelse för kontroll av säkerheten i olika avseende och är dessutom en grundförutsättning för att skapa god intern kontroll genom planenliga uppföljningar och kontroller. Det finns därför anledning att ta fram riktlinjer/föreskrifter för när, hur, var loggning och uppföljning skall ske. Detta gäller både säkerhetshändelser i inloggningsserverar, mailservrar och brandväggar och behandlingshistorik i enskilda system. (17)

18 Som exempel på frågor kan noteras: 1) Hur länge 8 och på vilket media 9 skall loggfiler (behandlingshistorik) sparas? 2) Vilka kontrollmål gäller, d.v.s. av vilken anledning sparas uppgifterna? 3) Organisation för uppföljning och kontroll? 4) Vilka krav på selektiv loggning (terminal, användare, register m.m.) skall finnas? 5) Vilka krav skall finnas på program för rapportuttag? 3.8 Avbrottsplanering och reservrutiner Målet med avbrottsplanering och reservrutiner är att motverka avbrott i verksamheten och att skydda kritiska rutiner från oförutsedda allvarligare avbrott i verksamheten. I avbrottshanteringen bör också ingå att identifiera och minska risker, begränsa följderna av skadliga händelser och att säkerställa återgång till normal drift. Beredskapen för avbrott hanteras idag med något olika synsätt inom landstinget. Vid Sjukhuset i Varberg finns sedan 1994 en katastrofplan för ADB, med detaljerad beskrivning av olika åtgärder inklusive reservrutiner för olika kritiska system. Planen har också använts vid några tillfällen bl.a. i samband med omfattande byte av server. Vid länssjukhuset finns ingen plan för totalhaveri. Det finns dock en plan för beredskap dygnet runt, vilken är dokumenterad i särskild databas. För övrigt ligger ansvaret för reservrutiner på respektive klinik. Inom primärvården ansvarar respektive förvaltningschef för att det finns reservrutiner. 3.8.1 Sammanvägd bedömning Vi har inte genomfört någon systematisk granskning av avbrottsplaner och reservrutiner, men konstaterar att det finns olika synsätt inom landstinget. Det finns därför anledning att genomföra risk- och sårbarhetsanalyser för olika system för att finna lämpliga nivåer i reservoch handlingsplaner. Framförallt gäller detta vid händelser som innebär mycket långa avbrott. 8 Om inte lagstiftningen ställer högre krav bör loggade uppgifter sparas i två år. 9 Vid lagring av loggar (behandlingshistorik) på exempelvis tapekassetter/server/cd är det viktigt att också förvara dessa med utgångspunkt från den klassificering av tillgångar och sekretess som gäller. (18)

19 3.9 Efterlevnad uppföljning och kontroll Vi har inte genomfört någon specifik granskning inom detta område. I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av IT-säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Som exempel på områden kan nämnas; tillämpning av personuppgiftslagen, missbruk av E-post eller sökningar på internet 10 och följsamhet till patientjournallagen i vårdadministrativa system. 10 Enligt uppgift finns ett uppdrag till IT-ansvariga från landstingsledningen att stickprovsmässigt granska Internetloggar som skapas i s.k. proxyserver vid sökningar på Internet. Anmälan om missbruk skall göras till berörd verksamhetschef. (19)