Missiv 1(1) Kommunstyrelsens förvaltning Datum Diarienummer 2016-09-28 KS/2016:222 Handläggare Carina Åsman Tfn 0142-853 73 Kommunstyrelsen Granskning av IT-säkerhet - svar Bakgrund Revisionen har genom PwC genomfört en test för att testa kommunens IT-säkerhet. Sammanfattning Mjölby kommun har utsatts för en test av säkerheten till vårt IT-nät. Syftet har varit att kontrollera om kommunens säkerhet för angrepp utifrån är säkert. Testen visar att Mjölby kommun ligger strax över medel i jämförelse med liknande testresultat i jämförbara verksamheter. Kommunstyrelsens arbetsutskott föreslår kommunstyrelsen att besluta att anta yttrandet som sitt eget och skicka svar till revisionen. Kommunstyrelsens förvaltning Dag Segrell Kommunchef Postadress Besöksadress Telefon Internetadress Bankgironummer Mjölby kommun Burensköldsvägen 11-13 0142-850 00 www.mjolby.se 791-9848 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se
1(2) Datum Kommunstyrelsens förvaltning IT-avdelningen 2016-07-26 Diarienummer Handläggare Dominica D.-Lillieström Tel. 0142-85131 Dominica.lilliestrom@mjolby.se Svar på revisorernas rapport IT-säkerhet (externt intrångstest) Bakgrund: Mjölby kommun har begärt en förutsättningslös översyn av externa IT-säkerhetssystem som de ses av en angripare från utsidan av nätet. Sammanfattande bedömning: PwC bedömer säkerheten avseende det externa penetrationstestet som strax över medel i jämförelse med liknande testresultat i jämförbara verksamheter. De sårbarheter som upptäcktes var av generell karaktär och kan tillsammans bilda en hög risk, med det kräver lång tid och hög budget för att utnyttja. Resultatet för intrångsförsöket visar att det finns några tveksamma tjänster som bör genomgå en grundligare översyn ex VPN-lösningen, FRI4-systemet m.fl. 12 sårbarheter har identifierats på de granskade IT-systemen. Följande områden innefattar de huvudsakliga säkerhetsbristerna. Åtkomst till styrningssystem Solar web Bristfällig webbsäkerhet med tanke på användning av https Det noterades även att kommunen använder sig av många tredjepartslösningar som inte omfattats av granskningen. Åtgärd IT-säkerheten från April 2016 till idag - Tydlig kravställning mot tredjepartsleverantörer (t.ex. Aleris, Norlandia Care) - IT-avd. har genomfört en åtgärdsanalys baserande på PwC rapport och resultat och åtgärdat de nämnda säkerhetsrisker i 3 olika steg - Steg1 kritisk - Steg 2 hög - Steg 3 medel Utfall September 2016 - ca. 85 % av dem i rapporten nämnda IT-säkerhetsproblem är därmed idag åtgärdad. rpnz0nlz.qbi.doc Postadress Besöksadress Telefon Internetadress Bankgironummer Mjölby kommun Burensköldsvägen 11 0142-850 00 www.mjolby.se 791-9848 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se
2(2) Datum 2013-04-08 Diarienummer Planering om hållbar IT-säkerhet i Mjölby kommun Kommunens verksamheter blir allt mer beroende av IT. Det handlar om IT som underlättar i vardagen i hanteringen av äldreomsorg, familjeomsorg, personal, elever, kommunens ekonomi, drift av fastigheter, vattenförsörjning osv. Mjölby kommun erbjuder allt fler elektroniska tjänster på Internet och förväntas öka tillgången de närmaste åren. De tjänster som exponeras externt på Internet är dessutom ofta kopplade till bakomliggande IT-verksamhetssystem. Det finns med andra ord en risk för intrång utifrån för att sabotera bakomliggande IT- infrastruktur som är avgörande för kommunens verksamheter. Med detta som bakgrund är det viktigt att IT-säkerheten är tillräckligt hög för att bemöta aktuella hotbild, att användarna har hög kunskap om IT-säkerhet och att det finns rutiner för att hantera säkerhetsincidenter och förändringar i IT-infrastuktur så att inga säkerhetsluckor uppstår. IT avdelningen har börjat att implementerar ett förändrat IT-säkerhetsarbete - Regelbundna interna säkerhetsgranskningar - Medarbetarna har kompetens om IT-säkerhet genom förståelse om vilka tillgångar som finns och riskerna för dessa. - IT-leverantörer följer kommunens riktlinjer för IT-säkerhet - Det finns rutiner och arbetssätt för att bland annat hantera användare, behörigheter, säkerhetsincidenter och förändringar i IT-infrastruktur. - Regelbundna revisioner av IT-säkerhetsarbetets effektivitet och ändamålsenlighet ska genomföras - IT-säkerhet är en viktigt beståndsdel av kommunens övergripande och IT-avdelningens IT - strategi - Samverkan kring IT-säkerhetsfrågor och lagförändringar i länet Mjölby, 2016-09-23 Dominica Danckwardt-Lillieström (tf IT chef) C:\Windows\TEMP\uzvq4uyk.rgb\rpnz0nlz.qbi.doc Postadress Besöksadress Telefon Internetadress Bankgironummer Mjölby kommun Burensköldsvägen 11 0142-850 00 www.mjolby.se 791-9848 Kommunstyrelsens förvaltning Telefax e-postadress 595 80 MJÖLBY 0142-851 20 kommunstyrelsen@mjolby.se
www.pwc.com/se IT-säkerhet Externt intrångstest Mjölby kommun April 2016
Revisionsfråga Granskningen syftar till att identifiera sårbarheter i kommunens externa nätverk genom tekniska tester. För att uppnå granskningens syfte är följande kontrollmål styrande för granskningen: Kommunen har en informations- och IT-säkerhet som anses uppfylla krav enligt god praxis. Det finns en tillräcklig och tydlig styrning av kommunens informationssäkerhet. Kommunen har tillfredställande rutiner avseende åtkomst, patch och incidenthantering. En eventuell attack upptäcks och hanteras av IT-personalen på ett rimligt tillvägagångssätt. Kommunens externa säkerhetsåtgärder förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån Internet. PwC 2
Angreppssätt Scenario Extern intrångstest En person utan behörighet till kommunens system får via Internet tillgång till kommunens känslig information. Hotbilden som illustreras är en extern s.k. hacker som försöker erhålla åtkomst till intern information. PwC 3
Avgränsningar Testerna har begränsats av följande faktorer: Tester har enbart genomförts mot en begränsad mängd av externa servrar och tjänster. Målsystem har specificerats av kommunen. I de fall sårbarheter har detekteras, har fördjupade försök att utnyttja dessa gjorts. Endast de mest allvarliga sårbarheterna har verifierats och utnyttjas. De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån för det aktuella tillfället då testerna utfördes. För att undvika eventuella driftstörningar har tester inte genomförts där risken för att störa produktionen bedömts som hög, exempelvis s.k. DDoS attacker (belastningsattacker). PwC 4
Sammanfattande bedömning Vi bedömer säkerheten avseende det externa penetrationstestet som strax över medel i jämförelse med liknande testresultat i jämförbara verksamheter. De sårbarheter som upptäcktes var av generell karaktär och kan tillsammans bilda en hög risk, med det kräver lång tid och hög budget för att utnyttja. Resultatet för intrångsförsöket visar att det finns några tveksamma tjänster som bör genomgå en grundligare översyn ex VPN-lösningen, FRI4-systemet m.fl. 12 sårbarheter har identifierats på de granskade IT-systemen. Följande områden innefattar de huvudsakliga säkerhetsbristerna. Åtkomst till styrningssystem Solar web Bristfällig webbsäkerhet med tanke på användning av https Det noterades även att Kommunen använder sig av många tredjepartslösningar som inte omfattats av granskningen. PwC 5
Exempel på sårbarheter Fronius Skänninge Idrottshall (kritisk) En angripare kan komma åt admin-gränssnittet i lösningen Inställning- och inloggningsmöjligheter Inloggning över http (medel) Webbtjänster skickas över http vilket inte rekommenderas SSL/TLS konfiguration (medel) Servrar som använder http är felkonfigurerande Informationsläckage vid felmeddelande (låg) Felmeddelanden som innehåller utförlig information på produktionsservrarna PwC 6
Slutsats och rekommendation Vår sammanfattande bedömning är att kommunen uppnår en tillräcklig IT-säkerhet för att minimera risker för obehörigt intrång från internet. Det är dock viktigt att lägga ett extra fokus på IT-säkerhet och kravställning avseende säkerhetsgranskningar gentemot tredjepartsleverantör. Detta med tanke på den känsliga information som Mjölby Kommun hanterar gällande sina medborgare och den ökande risken för cyberhot. PwC rekommenderar kommunen att genomföra en riskanalys samt åtgärdsanalys baserat på de angivna iakttagelserna och rekommendationerna i denna rapport. Fokus bör vara att omgående åtgärda de mest kritiska riskerna för att sedan prioritera resterande iakttagelser. De åtgärder som genomförs bör revideras och granskas efter införandet för att säkerställa att effekten av åtgärden uppnås. Detta kan exempelvis göras genom analys av utförda åtgärder, nya penetrationstester eller manuella kontroller PwC 7
Avslutning - frågor PwC 8
Mjölby Kommun PROTOKOLLSUTDRAG Sammanträdesdatum Arbetsutskott 2016-09-05 1 (1) Sida 140 KS/2016:222 Granskning av IT-säkerheten Information Dominica Danckwardt-Lillieström, tf IT-chef informerar om PwC testning av kommunens IT-säkerhet genom ett externt intrångstest. PwC bedömning är att Mjölby kommunen har en tillräcklig IT-säkerhet för att minimera riskerna för obehöriga intrång från internet. Yrkande Cecilia Vilhelmsson (S): att IT-chefen får i uppdrag att ta fram ett avtalsförslag kring ett öppet nätverk för medborgarna att IT-chefen skriver fram förslag till svar till PWC som ska presenteras på kommunstyrelsens sammanträde 2016-10-05. Kommunstyrelsens arbetsutskott beslutar att IT-chefen får i uppdrag att ta fram ett avtalsförslag kring ett öppet nätverk för medborgarna att IT-chefen skriver fram förslag till svar till PWC som ska presenteras på kommunstyrelsens sammanträde 2016-10-05. att tacka för informationen som noteras till protokollet. Beslutet skickas till Kommunstyrelsen IT-chef Akten Justerandes sign Utdragsbestyrkande