Granskning av IT-säkerhet - svar

Relevanta dokument
IT-säkerhet Externt intrångstest Mjölby kommun April 2016

IT-säkerhet Internt intrångstest

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Sammanträdesdatum Arbetsutskott (1) 171 KS/2018:228. Medborgarförslag affärsverksamhet i Gallerian - svar

Sammanträdesdatum Arbetsutskott (1) 172 KS/2018:174. Medborgarförslag bowlinghall i Gallerian - svar

Yttrande till kommunstyrelsen rörande motion om integrerad beroendemottagning i västra länsdelen från Moderaterna

IT-säkerhet Externt och internt intrångstest

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Godkännande av överenskommelse om samverkan mellan Region Östergötland och kommunerna.

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Samverkansavtal mellan Mjölby kommun och Region Östergötland gällande hälsokommunikatörer

Sammanträdesdatum Arbetsutskott (2) 92 Dnr KS/2018:20

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Sammanträdesdatum Arbetsutskott (2) 13 KS/2016:373. Bredband landsbygd vid Bockarp. Flytt av ÖP utförs av Utsikt Bredband AB.


Svar på medborgarförslag

Mjölby Kommun PROTOKOLLSUTDRAG 122 TEKN/2015:292. Justering avfallstaxa. Bakgrund

Sammanträdesdatum Arbetsutskott (2) 53 Dnr KS/2018:55. Motion om strategi för öppna data - svar

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Sammanträdesdatum Arbetsutskott (1) 88 KS/2015:261. Arbetsutskottet föreslår kommunstyrelsen föreslås besluta

Medborgarförslag gällande att göra om telefonkiosken i Skänninge till en bokkiosk

Sammanträdesdatum Arbetsutskott (1) 162 KS/2016:271. Kommunstyrelsens arbetsutskott beslutar. att informationen noteras till protokollet.

Riktlinjer för IT-säkerhet i Halmstads kommun

Sammanträdesdatum Arbetsutskott (2) 89 Dnr KS/2018:139. Borgensramar för Bostadsbolaget

Sammanträdesdatum Arbetsutskott (1) 17 Dnr KS/2017:262. Arbetsutskottets föreslår kommunstyrelsen att föreslå kommunfullmäktige

Sammanträdesdatum Arbetsutskott (1) 173 KS/2018:274. Redovisning av ej verkställda beslut 2018

Ansökan om ersättning från gode män, Mjölby kommun.

Sammanträdesdatum Arbetsutskott (1) 34 Dnr KS/2017:128

Sammanträdesdatum Arbetsutskott (1) 8 KS/2013:695. Prissättning av småhustomter inom Östra Olofstorp etapp 2.

Sammanträdesdatum Arbetsutskott (2) 17 KS/2017:20. Viby byalag - ansökan om återinvestering av belysning stolpar

Mjölby Kommun PROTOKOLLSUTDRAG 1 KS/2016:350. Kunskapstrailer

Håbo kommuns förtroendevalda revisorer

Sammanträdesdatum Arbetsutskott (1) 21 KS/2013:161 Sociala investeringsfonden - delrapport

Sammanträdesdatum Arbetsutskott (1) 160 Dnr KS/2017:261. Beslut om åtagande KSF förvaltning 2018

Mjölby Kommun PROTOKOLLSUTDRAG. 78 Dnr KS/2018:122. Wifi 4 EU - surfpunkter i Mjölby kommun

Familje- och friskvårdscentral i Måndalen - svar på medborgarförslag

Yrkeshögskoleutbildning för undersköterskor - svar på motion

Mjölby Kommun PROTOKOLLSUTDRAG 94 KS/2017:267, KS/2019:72. Nämndernas eposthantering svar på revisionens uppföljande granskningsrapport

Sammanträdesdatum Arbetsutskott (1) 120 KS/2017:230. Förslag angående lokalisering av nytt äldreboende i Mjölby

Sammanträdesdatum Arbetsutskott (1) 38 Dnr KS/2018:60. Beslutsunderlag - Missiv PM RUS Underlag RUS-processen

Mjölby Kommun PROTOKOLLSUTDRAG. 114 Dnr KS/2018:213. Bolagsordning för Gallerian

Sammanträdesdatum Arbetsutskott (5) 77 Dnr KS/2017:323. Justering av målvärden kommunstyrelsens åtaganden 2018

Sammanträdesdatum Arbetsutskott (3) 19 KS/2013:654. Tolkning av arvodesregler - revidering


Sammanträdesdatum Arbetsutskott (1) 138 Dnr KS/2018:202. Riktlinjer för Mjölby kommuns webbplatser och sociala medier

Turistväg förlängning Väderstad-Mantorp - svar på medborgarförslag

Svar på medborgarförslag angående byggande av växthus vid Lundbybadet

Mjölby Kommun PROTOKOLLSUTDRAG. 158 Dnr KS/2018:221. Förvärv av fastigheten Näcken 7 i Mjölby kommun (Norrgården)

Svar på medborgarförslag om scen med tak i Skänninge.

Sammanträdesdatum Arbetsutskott (1) 228 KS/2014:589. Svar på medborgarförslag om fiber.nät på landsbygden

Chef i Mjölby kommun KS/2016:172. Dokumentansvarig: Personalchef

Mjölby Kommun PROTOKOLLSUTDRAG. 91 Dnr KS/2018:142. Finansiering av projekt Jobblabb - kompetensförsörjning i Östergötland

Sammanträdesdatum Arbetsutskott (2) 154 Dnr KS/2018:263. KS integrationsråd 14 em

Reglemente för internkontroll

Sammanträdesdatum Trygghets- och säkerhetsutskott (1) 14 KS/2017:63

Cyber security Intrångsgranskning. Danderyds kommun

Flytt av turistbyrå i Skänninge

Tilläggsavtal om samverkan i gemensam överförmyndarnämnd och avtalsförslag förlängning av genomgång av akter, missiv

Sammanträdesdatum Trygghets- och säkerhetsutskott (1) 15 KS/2017:64

Sammanträdesdatum Arbetsutskott (1) 122 Dnr KS/2017:27


Sammanträdesdatum Arbetsutskott (1) 166 Dnr KS/2018:311. Beslutsunderlag Riskbedömning samt föreslagna kontrollmoment

Sammanträdesdatum Arbetsutskott (2) 90 Dnr KS/2014:552. Beslutsunderlag Missiv daterad Tjänsteskrivelse daterad

Mjölby Kommun PROTOKOLLSUTDRAG. 125 Dnr KS/2017:316. Svar på medborgarförslag angående samordning av hedersrelaterat våld

Mjölby Kommun PROTOKOLLSUTDRAG. 80 Dnr KS/2017:60. Extratjänster, äskande om medel från kommunstyrelsen

Mjölby Kommun PROTOKOLLSUTDRAG. 115 Dnr KS/2018:213. Ägardirektiv för Gallerian

Sammanträdesdatum Arbetsutskott (1) 142 Dnr KS/2016:389. Redovisning interkontrollplan KSF

Förslag till riktlinjer för telefoni, mobila enheter och e- post i Mjölby kommun

Sammanträdesdatum Arbetsutskott (2) 174 Dnr KS/2018:82

Mjölby Kommun PROTOKOLLSUTDRAG 111 KS/2017:145. Telefon och e-postpolicy

Sammanträdesdatum Arbetsutskott (1) 153 Dnr KS/2018:273. Arbetsutskottets förslag till kommunstyrelsen

Sammanträdesdatum Arbetsutskott (1) 183 Dnr KS/2017:181

Mjölby Kommun PROTOKOLLSUTDRAG 30 KS/2014:537. Redovisning internkontroll 2015, kommungemensam

Sammanträdesdatum Arbetsutskott (2) 132 Dnr KS/2017:204, KS/2017:25. Utvärdering av Magasinet

Sammanträdesdatum Arbetsutskott (1) 100 Dnr KS/2018:137. Program för privata utförare

Sammanträdesdatum Arbetsutskott (1) 192 Dnr KS/2016:375. Motion rörande infarter till Klämmestorpsområdet - svar

Yttrande till kommunstyrelsen rörande rapporten Granskning av löner och arvoden i Mjölby kommun

Sammanträdesdatum Arbetsutskott (2) 147 Dnr KS/2018:245. Dagvattenpolicy - beslut om remiss

Redovisning av partistöd för 2016

Sammanträdesdatum Arbetsutskott (4) 184 Dnr KS/2017:334. Kommunledningskontoret. Personalavdelningen

Sammanträdesdatum Arbetsutskott (1) 193 Dnr KS/2017:103. Arbetsutskottets föreslår kommunstyrelsen att föreslå kommunfullmäktige

Sammanträdesdatum Arbetsutskott (1) 176 Dnr KS/2017:298. Konstpolicy i Mjölby kommun

Mellankommunal samverkan i LA Linköping

Delegationsbeslut 1(2) Kommunstyrelsens förvaltning Datum Diarienummer KS/2016:5 Handläggare Anne-Marie Asp Tfn Stefan Stenberg

Mjölby Kommun PROTOKOLLSUTDRAG 83 KS/2016:165. Kungshögahemmet - försäljning

Optionsavtal kvarteret Längdmätaren, Sörby

Riktlinjer för Mjölby kommuns mål- och resultatstyrning

PROTOKOLLSUTDRAG. 153 Dnr KS/2018:273. Avgifter för tobaksförsäljning- till KF. Kommunstyrelsen förslag till kommunfullmäktiges beslut

Mjölby Kommun PROTOKOLLSUTDRAG. 168 Dnr KS/2018:142. Finansiering av projekt Jobblabb - kompetensförsörjning i Östergötland

Mjölby Kommun PROTOKOLLSUTDRAG. Drogförebyggande aktivitet i samband med skolavslutningen 2019 och framåt 27 KS/2018:66

Årsredovisning för år 2015

Mjölby Kommun PROTOKOLLSUTDRAG 1 KS/2016:350. Kunskapstrailer

Sammanträdesdatum Trygghets- och säkerhetsutskott (1) 6 KS/2017:69. Skolavslutning årskurs 9 - information

Sammanträdesdatum Arbetsutskott (2) 3 KS/2016:76. Finansiering av godsmagasinet i Mjölby

Mjölby Kommun PROTOKOLLSUTDRAG. 8 Dnr KS/2016:338. Uppdragsbeskrivning för Tjänsteman i beredskap i Mjölby kommun

Mjölby ungdomsmusikkår - ansökan om bidrag

Sammanträdesdatum Arbetsutskott (2) 93 DnrKS/2017:243

Sammanträdesdatum Arbetsutskott (2) 183 KS/2018:115. Kommunstyrelsen tackar för medborgarförslaget.

Transkript:

Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom PwC genomfört en test för att testa kommunens IT-säkerhet. Sammanfattning Mjölby kommun har utsatts för en test av säkerheten till vårt IT-nät. Syftet har varit att kontrollera om kommunens säkerhet för angrepp utifrån är säkert. Testen visar att Mjölby kommun ligger strax över medel i jämförelse med liknande testresultat i jämförbara verksamheter. Kommunstyrelsens arbetsutskott föreslår kommunstyrelsen att besluta att anta yttrandet som sitt eget och skicka svar till revisionen. Kommunstyrelsens förvaltning Dag Segrell Kommunchef Postadress Besöksadress Telefon Internetadress Bankgironummer Mjölby kommun Burensköldsvägen 11-13 0142-850 00 www.mjolby.se 791-9848 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se

1(2) Datum Kommunstyrelsens förvaltning IT-avdelningen 2016-07-26 Diarienummer Handläggare Dominica D.-Lillieström Tel. 0142-85131 Dominica.lilliestrom@mjolby.se Svar på revisorernas rapport IT-säkerhet (externt intrångstest) Bakgrund: Mjölby kommun har begärt en förutsättningslös översyn av externa IT-säkerhetssystem som de ses av en angripare från utsidan av nätet. Sammanfattande bedömning: PwC bedömer säkerheten avseende det externa penetrationstestet som strax över medel i jämförelse med liknande testresultat i jämförbara verksamheter. De sårbarheter som upptäcktes var av generell karaktär och kan tillsammans bilda en hög risk, med det kräver lång tid och hög budget för att utnyttja. Resultatet för intrångsförsöket visar att det finns några tveksamma tjänster som bör genomgå en grundligare översyn ex VPN-lösningen, FRI4-systemet m.fl. 12 sårbarheter har identifierats på de granskade IT-systemen. Följande områden innefattar de huvudsakliga säkerhetsbristerna. Åtkomst till styrningssystem Solar web Bristfällig webbsäkerhet med tanke på användning av https Det noterades även att kommunen använder sig av många tredjepartslösningar som inte omfattats av granskningen. Åtgärd IT-säkerheten från April 2016 till idag - Tydlig kravställning mot tredjepartsleverantörer (t.ex. Aleris, Norlandia Care) - IT-avd. har genomfört en åtgärdsanalys baserande på PwC rapport och resultat och åtgärdat de nämnda säkerhetsrisker i 3 olika steg - Steg1 kritisk - Steg 2 hög - Steg 3 medel Utfall September 2016 - ca. 85 % av dem i rapporten nämnda IT-säkerhetsproblem är därmed idag åtgärdad. rpnz0nlz.qbi.doc Postadress Besöksadress Telefon Internetadress Bankgironummer Mjölby kommun Burensköldsvägen 11 0142-850 00 www.mjolby.se 791-9848 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se

2(2) Datum 2013-04-08 Diarienummer Planering om hållbar IT-säkerhet i Mjölby kommun Kommunens verksamheter blir allt mer beroende av IT. Det handlar om IT som underlättar i vardagen i hanteringen av äldreomsorg, familjeomsorg, personal, elever, kommunens ekonomi, drift av fastigheter, vattenförsörjning osv. Mjölby kommun erbjuder allt fler elektroniska tjänster på Internet och förväntas öka tillgången de närmaste åren. De tjänster som exponeras externt på Internet är dessutom ofta kopplade till bakomliggande IT-verksamhetssystem. Det finns med andra ord en risk för intrång utifrån för att sabotera bakomliggande IT- infrastruktur som är avgörande för kommunens verksamheter. Med detta som bakgrund är det viktigt att IT-säkerheten är tillräckligt hög för att bemöta aktuella hotbild, att användarna har hög kunskap om IT-säkerhet och att det finns rutiner för att hantera säkerhetsincidenter och förändringar i IT-infrastuktur så att inga säkerhetsluckor uppstår. IT avdelningen har börjat att implementerar ett förändrat IT-säkerhetsarbete - Regelbundna interna säkerhetsgranskningar - Medarbetarna har kompetens om IT-säkerhet genom förståelse om vilka tillgångar som finns och riskerna för dessa. - IT-leverantörer följer kommunens riktlinjer för IT-säkerhet - Det finns rutiner och arbetssätt för att bland annat hantera användare, behörigheter, säkerhetsincidenter och förändringar i IT-infrastruktur. - Regelbundna revisioner av IT-säkerhetsarbetets effektivitet och ändamålsenlighet ska genomföras - IT-säkerhet är en viktigt beståndsdel av kommunens övergripande och IT-avdelningens IT - strategi - Samverkan kring IT-säkerhetsfrågor och lagförändringar i länet Mjölby, 2016-09-23 Dominica Danckwardt-Lillieström (tf IT chef) C:\Windows\TEMP\uzvq4uyk.rgb\rpnz0nlz.qbi.doc Postadress Besöksadress Telefon Internetadress Bankgironummer Mjölby kommun Burensköldsvägen 11 0142-850 00 www.mjolby.se 791-9848 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se

www.pwc.com/se IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Revisionsfråga Granskningen syftar till att identifiera sårbarheter i kommunens externa nätverk genom tekniska tester. För att uppnå granskningens syfte är följande kontrollmål styrande för granskningen: Kommunen har en informations- och IT-säkerhet som anses uppfylla krav enligt god praxis. Det finns en tillräcklig och tydlig styrning av kommunens informationssäkerhet. Kommunen har tillfredställande rutiner avseende åtkomst, patch och incidenthantering. En eventuell attack upptäcks och hanteras av IT-personalen på ett rimligt tillvägagångssätt. Kommunens externa säkerhetsåtgärder förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån Internet. PwC 2

Angreppssätt Scenario Extern intrångstest En person utan behörighet till kommunens system får via Internet tillgång till kommunens känslig information. Hotbilden som illustreras är en extern s.k. hacker som försöker erhålla åtkomst till intern information. PwC 3

Avgränsningar Testerna har begränsats av följande faktorer: Tester har enbart genomförts mot en begränsad mängd av externa servrar och tjänster. Målsystem har specificerats av kommunen. I de fall sårbarheter har detekteras, har fördjupade försök att utnyttja dessa gjorts. Endast de mest allvarliga sårbarheterna har verifierats och utnyttjas. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. För att undvika eventuella driftstörningar har tester inte genomförts där risken för att störa produktionen bedömts som hög, exempelvis s.k. DDoS attacker (belastningsattacker). PwC 4

Sammanfattande bedömning Vi bedömer säkerheten avseende det externa penetrationstestet som strax över medel i jämförelse med liknande testresultat i jämförbara verksamheter. De sårbarheter som upptäcktes var av generell karaktär och kan tillsammans bilda en hög risk, med det kräver lång tid och hög budget för att utnyttja. Resultatet för intrångsförsöket visar att det finns några tveksamma tjänster som bör genomgå en grundligare översyn ex VPN-lösningen, FRI4-systemet m.fl. 12 sårbarheter har identifierats på de granskade IT-systemen. Följande områden innefattar de huvudsakliga säkerhetsbristerna. Åtkomst till styrningssystem Solar web Bristfällig webbsäkerhet med tanke på användning av https Det noterades även att Kommunen använder sig av många tredjepartslösningar som inte omfattats av granskningen. PwC 5

Exempel på sårbarheter Fronius Skänninge Idrottshall (kritisk) En angripare kan komma åt admin-gränssnittet i lösningen Inställning- och inloggningsmöjligheter Inloggning över http (medel) Webbtjänster skickas över http vilket inte rekommenderas SSL/TLS konfiguration (medel) Servrar som använder http är felkonfigurerande Informationsläckage vid felmeddelande (låg) Felmeddelanden som innehåller utförlig information på produktionsservrarna PwC 6

Slutsats och rekommendation Vår sammanfattande bedömning är att kommunen uppnår en tillräcklig IT-säkerhet för att minimera risker för obehörigt intrång från internet. Det är dock viktigt att lägga ett extra fokus på IT-säkerhet och kravställning avseende säkerhetsgranskningar gentemot tredjepartsleverantör. Detta med tanke på den känsliga information som Mjölby Kommun hanterar gällande sina medborgare och den ökande risken för cyberhot. PwC rekommenderar kommunen att genomföra en riskanalys samt åtgärdsanalys baserat på de angivna iakttagelserna och rekommendationerna i denna rapport. Fokus bör vara att omgående åtgärda de mest kritiska riskerna för att sedan prioritera resterande iakttagelser. De åtgärder som genomförs bör revideras och granskas efter införandet för att säkerställa att effekten av åtgärden uppnås. Detta kan exempelvis göras genom analys av utförda åtgärder, nya penetrationstester eller manuella kontroller PwC 7

Avslutning - frågor PwC 8

Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2016-09-05 1 (1) Sida 140 KS/2016:222 Granskning av IT-säkerheten Information Dominica Danckwardt-Lillieström, tf IT-chef informerar om PwC testning av kommunens IT-säkerhet genom ett externt intrångstest. PwC bedömning är att Mjölby kommunen har en tillräcklig IT-säkerhet för att minimera riskerna för obehöriga intrång från internet. Yrkande Cecilia Vilhelmsson (S): att IT-chefen får i uppdrag att ta fram ett avtalsförslag kring ett öppet nätverk för medborgarna att IT-chefen skriver fram förslag till svar till PWC som ska presenteras på kommunstyrelsens sammanträde 2016-10-05. Kommunstyrelsens arbetsutskott beslutar att IT-chefen får i uppdrag att ta fram ett avtalsförslag kring ett öppet nätverk för medborgarna att IT-chefen skriver fram förslag till svar till PWC som ska presenteras på kommunstyrelsens sammanträde 2016-10-05. att tacka för informationen som noteras till protokollet. Beslutet skickas till Kommunstyrelsen IT-chef Akten Justerandes sign Utdragsbestyrkande

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss