Översiktlig granskning av IT-säkerheten

Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1

Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4 Avgränsning... 4 2. Hantering av information... 4 3. Granskningsresultat... 5 3.1 Finns aktuella styrande och stödjande dokument som berör IT-säkerhet och är dessa införda inom nämnderna?... 5 3.2 Finns tydligt ansvar för att arbeta aktivt med frågor som berör IT-säkerhet?... 7 3.3 Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)?... 10 3.4 Har kommunen tillfredsställande rutiner för säkerhetskopiering?... 11 3.5 Har användaren tillräcklig kunskap om hot och risker för IT-säkerheten?... 12 3.6 Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk?... 14 3.7 Finns det en avbrottsplan för att säkerställa att funktioner kan återställas inom erforderlig tid?... 15 3.8 Finns tillfredsställande skydd mot virus och andra oönskade program?... 16 4. Sammanfattande bedömning... 16 Bilaga 1 Checklista fysiskt skydd 2

1. Inledning 1.1 Bakgrund Med begreppet IT menas informationsteknik som innefattar teknik för elektronisk framställning, lagring, överföring och presentation av information. Tekniken kan bestå av hårdvara, nät, kommunikation och programvaror av olika slag. Med vår definition av IT-säkerhet menas här alla olika åtgärder som används för att skydda och säkerställa åtkomsten av information samt att interna och externa regelverk följs. Betydelsen av IT ökar allt mer inom kommunens olika verksamhetsområden och förändringar sker kontinuerligt. Kommunen hanterar många känsliga uppgifter. Brister i säkerheten kan ge stora konsekvenser för såväl kommunen som för enskilda personer. 1.2 Syfte Granskningen syftar till att översiktligt granska kommunens IT-säkerhet. I granskningen ingår att utföra kontroller inom följande områden: Finns aktuella styrande och stödjande dokument som berör IT-säkerhet. Finns tydligt ansvar för att arbeta aktivt med IT-säkerhetsfrågor. Finns ett tillräckligt skydd kring rum som används för datordrift. Finns tillfredställande rutiner kring säkerhetskopiering. Har användarna kännedom kring frågor som berör IT-säkerhet. Finns tillfredställande rutiner för hantering av behörighet till gemensamt nätverk. Finns avbrottsplan. Finns tillräckligt skydd mot virus. 3

1.3 Metod Vi har intervjuat ansvariga tjänstemän vid IT-enheten ställt frågor och fått svar från IT-kontaktpersoner (3 st) via emailformulär gjort en genomgång av framtagna dokument som berör IT-säkerhet ställt frågor till ett urval av användare via ett webbaserat frågeformulär (309 användare besvarade formuläret) utfört en fysisk besiktning av centralt datorrum gjort kontinuerliga avstämningar med ansvariga kring iakttagelser och bedömningar 1.4 Avgränsning Granskningen omfattar de i rapporten redovisade kontrollmålen. I granskningen kontrolleras ett flertal områden översiktligt. Granskningsobjektet är i första hand kommunstyrelsen som har det övergripande ansvaret för IT inom kommunen. Dock berörs till vissa delar kommunens samtliga nämnder inom kommunen då de har ett ansvar för säkerheten inom nämndens område. Granskningen har inte berört säkerheten i separata system (t ex att systemen loggar olika händelser eller att anställda har rätt behörigheter till systemens olika uppgifter, t ex får ändra, får läsa, eller att systemens egna kontrollfunktioner är korrekta). 2. Hantering av information I kommunens centrala serverrum hanteras viktig och känslig information såsom: information inom familjeomsorg, äldreomsorg, skola och barnomsorg löne- och redovisningsinformation internet (hemsidor), intranet och mailsystem. Windows och Office körs i huvudsak på alla datorer inom administrationen. Lagring av egna upprättade dokument ska enligt anvisningar ske på centrala servrar (d v s dokument som användare arbetar med t ex ord och text, kalkyler och presentationer). Ansvaret för IT inom utbildningsområdet har under 2008 flyttas till IT-kontoret. Vi har under granskningen noterat att kommunen har serverrum där elever och lärare kan spara personliga dokument. Ett arbete med att flytta alla servrar till ett begränsat antal utrymmen pågår. 4

3. Granskningsresultat Nedan följer de olika kontrollmoment vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen, vår bedömning, kommentarer och eventuellt förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. Vanligen skrivs kommentarer då vi upptäckt brister och ser ett förbättringsbehov. Nedan visas frågeställningarna i granskningen. En sammanfattande bedömning ges i avsnitt 4. 3.1 Finns aktuella styrande och stödjande dokument som berör ITsäkerhet och är dessa införda inom nämnderna? Iakttagelser: Vi har tagit del av följande generella dokument som finns inom kommunen. IT-policy (Beslutad av kommunfullmäktige 2002). IT-strategi (Beslutat av kommunfullmäktige 2002). I dokumentet behandlas även ITsäkerhetsrelaterade frågor och ansvar. I dokumentet anges bl a att reglerna för tillämpning av kvalitetskraven inom IT-säkerhet ska finnas samlade i kommunens Säkerhetsplan. Säkerhetsplanen finns dock inte framtagen. IT-säkerhet för användare (Upprättat av IT-kontoret 2005). Dokumentet beskriver kortfattat användares ansvar för några IT-relaterade frågor t ex hantering av lösenord, internetanvändning och rapportering av incidenter. Kom igång med din dator Dokumentet beskriver områden som berör användare. I dokumentet anges även frågor kring IT-säkerhet (säkerhet vid inloggning,virus, sekretess,säkerhet och juridiska frågor kring e-postanvändning, säkerhet på Internet, låsa datorn och lösenord). Vi har frågat användare om de tagit del av dokument kring IT-säkerhet samt om det är tydligt var de återfinner gällande dokument. Svaren varierar men flera användare är osäkra på vilka dokument som finns och var dessa återfinns. 5

Grafen nedan visar svarsfördelningen på fråga om användare tagit del av dokument som berör IT-säkerhet. (309 svar) 160 151 140 120 100 96 80 60 62 40 20 0 1.Vet ej om jag tagit del av några dokument 2.Jag har inte tagit del av några dokument som berör IT och/eller informationssäkerhet 3.Jag har tagit del av dokument kring IT och/eller informationssäkerhet Grafen nedan visar svar på frågor till användare om de vet var de återfinner dokument som rör IT-säkerhet. Jag har tagit del av dokument som berör IT-säkerhet (informationssäkerhet) inom kommunen och/eller min förvaltning. (T ex olika anvisningar kring vad som är viktigt at tänka på som användare. Vem som ansvarar för vad etc.) -72-60 96 35-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Värden till vänster om nollvärdet visar svar med inte alls och delvis. Värden till höger visar svaren i huvudsak och helt. Inte alls eller delvis visas med negativa tal. Flera av de kommentarer vi fått anger att det är otydligt var dokument återfinns. 6

Ett arbete med att förbättra styrande dokument och riktlinjer i kommunen har initierats. Arbetet kommer att bygga på BITS 1 från Myndigheten för samhällsskydd och beredskap (tidigare krisberedskapsmyndigheten). Detta innebär att de generella dokument kring IT-säkerheten som finns kommer att ses över och förbättras. I arbetet ingår även att genomföra säkerhetsanalyser kring viktiga system. Arbetet med BITS är planerat att påbörjas under 2009. De generella dokument som finns är i huvudsak aktuella och finns inlagda på kommunens intranet. Kommentarer och rekommendationer: Vår bedömning är att resultatet kring kontrollområdet är otillfredställande. Inom kommunen finns upprättade dokument som berör IT-säkerhetsområdet. Dock finns ett förbättringsbehov. T ex saknas den säkerhetsplan som anges i IT-strategin. Vidare är vår bedömning att de dokument som finns inte är tillräckligt kommunicerade. Därmed finns risker att dokumenten inte fyller sina syften. Det är här viktigt att se över hur olika dokument ska kommuniceras till ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Vi konstaterar att det har initierats ett arbete med att förbättra kommunens styrande dokument och riktlinjer i enlighet med BITS. I anslutning till detta vill vi peka på vikten att det inom styrelser och nämnder genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen enligt de intentioner som finns i BITS. 3.2 Finns tydligt ansvar för att arbeta aktivt med frågor som berör ITsäkerhet? Iakttagelser: I kommunens IT-strategi beskrivs olika roller kring IT. IT-gruppen har till uppgift att behandla frågor av strategisk karaktär. IT-gruppen fastställer och beslutar om förändringar av Riktlinjerna inom IT. IT-gruppen består av kommunchefen, IT-chefen samt förvaltningscheferna för Barn- och Utbildningsförvaltningen, Tekniska kontoret, Socialförvaltningen och Ekonomikontoret. 1 Basnivå för IT-Säkerhet 7

IT-kontoret har två roller. Den ena är att vara kommunstyrelsens förlängda arm avseende regler och standarder inom IT. Den andra är att vara ett serviceorgan för verksamheterna. I sin roll som kommunstyrelsens förlängda arm ansvarar IT-kontoret bl a för framtagande av IT-strategi och riktlinjer inom IT, allt teknikval i hela infrastrukturen och samordning av arbetet med IT-säkerhet. IT-kontoret verkställer även inköp av utrustning och fungerar som allmän rådgivare till verksamheterna inom IT-området. Systemägare och systemansvariga finns utsedda för de flesta av nämndernas viktigaste system. Vid intervjuer framkommer ett behov av att tydliggöra det ansvar som finns i systemägarerollen på ett mer detaljerat sätt. Kontaktpersonerna inom IT på övriga förvaltningar fungerar som lokalt användarstöd och länk mellan användarna och IT-kontoret. Stödet till användarna inom respektive förvaltning omfattar bl a hjälp till nya användare att komma igång och en första analys av eventuella problem med arbetsplatsutrustning. Ansvariga vid IT-kontoret ser ett behov av att se över hur rollen som kontaktperson kan förbättras i syfte att bättre samverka med IT-kontoret och systemansvariga för att stödja verksamheterna. Förvaltningschefen har enligt IT-strategin ett ansvar för IT-säkerheten inom respektive verksamhet. Detta innebär bl a ansvar för att varje användare får information om och utbildning i det IT-säkerhetsansvar som befattningen medför, både vid nyanställning och fortlöpande. Systemägaren har även ett ansvar för informationsklassning och skyddsåtgärder (IT-säkerhetslösningar). Samordning av IT-säkerhetsarbetet ska enligt IT-strategin ske av IT-kontoret. ITkontoret har också ansvaret att initiera översyn av IT-säkerheten för alla förvaltningar. IT-kontoret har tekniskt ansvar för valda IT-säkerhetslösningar. Kommunens centrala IT-enhet ansvarar för den centrala IT-säkerhetsfunktionen vilket innebär ansvar för samordning av frågor angående förvaltningarnas IT-säkerhet samt övergripande uppföljning. En ny roll som säkerhetsansvarig har skapats under 2009. Ansvariga vid ITkontoret upplever inte att rollen är tillräckligt tydliggjord men detta är ett arbete som påbörjats. Varje användare har ansvar för att i sitt dagliga arbete följa aktuella riktlinjer och instruktioner för IT-säkerhet. En helpdesk finns dit användare kan vända sig för hjälp och meddela olika typer av incidenter. Ett arbete pågår kontinuerligt med att förbättra processer i anslutning till helpdesk. 8

Kommunen använder sig inte av formaliserade överenskommelser mellan nämnderna och IT-kontoret, t ex krav på prioriteringar och servicenivåer på olika leveranser från IT-kontoret. Det finns inte någon gemensam systemförvaltningsmodell vilket innebär att systemförvaltningen sker på olika sätt kring kommunens kritiska system. Under 2008 har IT-kontoret påbörjat ett arbete med att konsolidera den IT-drift som tidigare fanns inom utbildningsförvaltningen. Enkäten till användare Frågor kring tydlighet avseende ansvar ställdes till användare. De flesta som besvarade vårt formulär angav att ansvaret kring IT-frågor är tydligt. Dock har flera användare svarat att det finns en otydlighet t ex vart man vänder sig i olika frågor. Många lärare är osäkra på vilka som ansvarar för vad. (39 lärare svarar delvis eller inte alls på fråga kring ansvar kring säkerhet) Det är tydligt vem/vilka som ansvarar för olika IT-säkerhetsfrågor inom kommunen/och eller min förvaltning. -35-78 96 80-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Det är tydligt vem som ansvarar för IT-säkerheten/informationssäkerheten i det IT-system som jag i huvudsak använder -33-62 99 87-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% 9

Kommentarer och rekommendationer: Vi konstaterar att ansvar och uppgifter inom olika roller tydliggörs i aktuella dokument. Dock är vår bedömning att roller och ansvar inte är tillräckligt tydliggjorda inom kommunen. Vår bedömning är att rollen som IT-säkerhetsansvarig inte är tillräckligt tydliggjord. T ex kring organisatorisk placering, befogenheter och hur arbetet ska bedrivas avseende information och uppföljning mot verksamheterna. Vi vill även här peka på vikten av att det inom verksamheterna (styrelse och nämnder) genomförs systemsäkerhetsanalyser. Säkerhetsanalyser förbättrar säkerheten samtidigt som ansvaret mellan verksamheten och IT-enheten tydliggörs. Vi konstaterar dock att det pågår ett förbättringsarbete kring att tydliggöra roller och ansvar t ex via det arbete som initierats kring BITS. 3.3 Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)? Iakttagelser: I vår granskning har vi även genomfört ett flertal kontroller. I huvudsak har de flesta kontroller varit positiva men vissa förbättringsområden har uppmärksammats. Kontroller som utfördes visas i bilaga 1. En besiktning av datorhallen har genomförts av räddningstjänsten 2008. Serverrummet har motståndskraftiga väggar och dörrar (obehörigt tillträde, brand). I serverrummet finns galler för fönster. Det finns temperaturlarm och datahallsgolv. Serverrummet har ett lås som bara IT-kontoret har nycklar till samt larmsystem med koder för att avaktivera. Endast IT-personal har tillträde till datorrummet. Behov finns att se över rutiner kring loggning. Olika typer av larm finns installerade (värme, inbrott). UPS 2 finns, automatstartande kraftförsörjning finns dock inte. Normalt har leverantörer aldrig tillgång till datorhallen. Då leverantörer arbetar mot servrar ska enligt uppgifter alltid IT-personal finnas i närheten eller ger tillåtelse för åtkomst. Dokumenterade rutiner över hur leverantörer hanteras inom kommunens saknas. Sekretessförbindelser används inte mot leverantörer. 2 Strömförsörjning som klarar kortare bortfall. Uninterruptable Power Source, eller avbrottsfri kraft. 10

Backup sker i en miljö som är fysiskt skiljd från IT-driften. Brandutrustning finns i anslutning till datorhallen. Dock finns inte systemsläckning inne i hallen. Vid utbildningsförvaltningen finns serverhallar där lärare och elever sparar personligt arbetsmaterial. IT-kontoret genomför för närvarande en översyn kring dessa utrymmen t ex om vissa servrar ska flyttas centralt. Kommentarer och rekommendationer: Resultatet är i huvudsak tillfredställande. Vi ser dock ett förbättringsbehov enligt nedan. Strömförsörjningen kring datorhallen bör ses över och förbättras. Skyddet mot brand i datorhallen bör förbättras t ex via utrusning där syret reduceras i händelse av brand. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens system. Regler och rutiner bör därefter tas fram. Inom nämnderna bör det säkerställas att skriftliga sekretessförbindelser används då leverantörer ges åtkomst till känsligt material. Risken för insyn i datorutrymme bör ses över och åtgärdas. Rutiner kring loggar vid tillträde till datorhallen bör ses över. Det är viktigt att den utredning som pågår kring Barn- och utbildningsförvaltningens servrar genomförs enligt de planer som finns. 3.4 Har kommunen tillfredsställande rutiner för säkerhetskopiering? Iakttagelser: Backuper tas dagligen idag via bandrobot där flera band cirkulerar (40 band). Banden byts ut kontinuerligt. Bandroboten är placerad i utrymme väl avskiljt från serverrummet. En årskopia och månadskopia av backuper lyfts ur och förvaras i brandskyddat skåp. Först läggs filer på en disk och sedan på ett band. Dokumenterade krav från verksamheten avseende krav kring backuper saknas. De rutiner som finns är framtagna av IT-kontoret men i vissa fall i samråd med leverantörer av systemen. 11

Elutrustning som säkerställer kontinerlig ström till backuphanteringen är bristfällig. Systematiska kontroller av att rutiner och system går att återställa från backuper sker ej. En översyn pågår kring att förbättra backuphanteringen framförallt kring utbildningsverksamheten. Det förs diskussioner inom kommunen kring en alternativ driftsmiljö. Detta innebär att det kommer att finnas en redundans om en av driftsmiljöerna går ner. Arbetet är planerat att påbörjas 2010. Kommentarer och rekommendationer: Vår bedömning är att rutiner avseende backuphanteringen inte är tillräckligt tillfredsställande. Det är viktigt med förbättrade rutiner avseende återläsningskontroller. Tester att system går att återstarta efter eventuell diskkrasch bör ske rutinmässigt och inte bara då oförutsedda händelser inträffar. Ökade och tydliga krav från verksamheten (nämnderna) bör utarbetas. Vi föreslår att det sker en översyn avseende hur länge backuper förvaras (t ex av arkivskäl). De diskussioner som förs kring alternativ driftsmiljö är positiva. Det är viktigt att det görs en översyn enligt de planer som finns. 3.5 Har användaren tillräcklig kunskap om hot och risker för ITsäkerheten? Iakttagelser: Särskilda dokument som berör användare finns framtagna. ( IT-säkerhet för användare och Kom igång med din dator ). Dokumenten finns utlagda på kommunens intranät. Utbildningar för nyanställda genomförs cirka fyra gånger per år. Från IT-kontoret anges att det ibland är ett lågt deltagande. Enligt IT-kontorets bedömning finns många anställda där det har gått lång tid sedan de gick någon gemensam utbildning där säkerhetsrelaterade frågor ingick. En helpdesk finns dit användare kan vända sig för hjälp och meddela olika typer av störningar. Underlag som skapas i helpdesksystemet används i viss utsträckning i proak- 12

tivt arbete, t ex i förebyggande utbildningar. Förbättringar kring processer i anslutning till helpdesk förbättras kontinuerligt. Den helpdesk som finns har funnits i två år. Svar från användare Vår huvudsakliga kommentar till tabellen nedan är att den övervägande delen av de svarande har avgett positiva svar (I huvudsak eller helt). Dock utrycker flera användare en osäkerhet kring frågor som kan relateras till kompetens. Se även avsnitt 3.1 kring styrande dokument och riktlinjer där många användare är osäkra på vad som gäller och var dokumenten återfinns. Kommentarer och rekommendationer: Vi konstaterar att det finns ett behov av säkerhetsrelaterad utbildning varför det är viktigt att det inom nämnderna genomförs ökande aktiviteter för att förbättra användarens kompetens inom IT/informationssäkerhetsområdet. Här är det givetvis viktigt att styrelse och nämnder medverkar till att all personal deltar i aktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det sker ett systematiskt uppföljningsarbete av användares kunskap kring säkerheten. 13

3.6 Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk? Iakttagelser: Rutiner kring då anställda erhåller en behörighet för nyanställning har genomgåtts med ansvariga. Särskild blankett finns för tilldelning. Blanketten måste fyllas i av ansvarig chef. Kontroller sker att rätt användare erhåller sitt Id och lösenord. Även rutiner kring då anställda behöver ett nytt lösenord har genomgåtts. Avseende förnyelse då användare förlorat sitt lösenord uppmärksammar vi ett förbättringsbehov. Dokumentation kring tilldelning av behörigheter och lösenord saknas. Då anställda slutar ska ansvarig chef ange detta på blankett framtagen för ändamålet. Blankett ska tillsändas IT-kontoret där borttag av identiteter sker. Enligt uppgifter finns behov kring att förbättra tillämpningen av rutinen. Om inte ett konto används under en angiven period så spärras möjlighet till åtkomst. Varje dator ska ha en skärmsläckare som låses efter viss tid av inaktivitet. Dock anger flera av de svarande (främst lärare) att de inte har datorer med automatisk skärmsläckare. Alla datorer som kopplas till nätet inköps via IT-kontoret och inkopplas av IT-kontoret. På många av kommunens skrivare finns möjlighet att skydda utskrifter vilket innebär att lösenord krävs för utmatning. Dock uttrycker vissa anställda (främst inom skolan) att det finns problem med att skydda sina utskrifter. IT-personal ska bära handling som ger möjlighet att legitimera sig då de vistas ute i verksamheten. Dock bärs inte identitetshandlingen synlig. Lösenordens längd och uppbyggnad är reglerat. Byte av lösenord krävs genom fastställda automatiska rutiner. Loggning sker kring försök till åtkomst. Uppföljning av loggar sker enligt uppgift regelbundet. Tillförlitligheten kring kommunens brandvägg har diskuterats med ansvariga. Enligt uppgift finns god kontroll kring tillförlitligheten. Inom kommunen är man restrektiva med att anställda arbetar mot kommunens datorer utanför brandväggen. I de fall som detta sker krävs en dosa (RSA) samt en kod i anslutning till dosan. (Detta innebär att för att logga in krävs dels dosa och dels en kod). Rutiner för tilldelning av dosan har genomgåtts med ansvariga. Oberoende tester sker ej. 14

Ny personal kallas till introduktionsutbildning efter att de anställs. Deltagande på dessa utbildningar sker inte i önskvärd omfattning. (Det förekommer att de kallade inte kommer). Kommentarer och rekommendationer: Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Den översyn som sker kring kommunens brandvägg är positiv. IT-personal bör bära synlig id-handling och i anslutning till detta är det viktigt att det säkerställs att anställda inom kommunen är medvetna om att IT-personal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom nämnderna sker en översyn över var skrivare finns placerade samt rutiner och teknik kring utskrifter. Detta för att förebygga att utskrifter kan nås av obehöriga. Användarnas svar indikerar att problemet är betydande inom utbildningsförvaltningen. En översyn kring status avseende skärmsläckare bör genomföras inom nämnderna. Dvs att skärmsläckare finns och startar med automatik. Granskningsområdet ovan kring behörighet är till delar kunskapsrelaterat. Kommentarer avseende utbildningsbehov är intaget i avsnitt 3.5 Har användaren tillräcklig kunskap om hot och risker för IT-säkerheten? 3.7 Finns det en avbrottsplan för att säkerställa att funktioner kan återställas inom erforderlig tid? Iakttagelser: Olika typer av riskhanteringsanalyser har skett övergripande inom kommunen tillsammans med räddningstjänsten. T ex scenarier kring elavbrott, översvämning och skogsbrand. Katastrofplan och/eller avbrottsplaner och tydliga krav från verksamheterna saknas. Under 2009 kommer ett arbete med stöd av BITS att påbörjas. I samband med detta kommer förbättringar att ske. Vidare är det planerat att skapa ökad säkerhet via två datorhallar för att säkra kontinuiteten kring driften. 15

Kommentarer och rekommendationer: Analyser för att identifiera följderna av eventuella katastrofer bör genomföras inom verksamheterna. Detta är ett viktigt förbättringsområde eftersom det vid allvarliga händelser kan ge stor påverkan på verksamheten. En avbrottsplan bör upprättas. Avbrottsplanen bör innehålla en beskrivning av vad som krävs för att starta driften på nytt, prioriteringar samt ansvaret för olika aktiviteter. Vi konstaterar här att ett förbättringsarbete är planerat. 3.8 Finns tillfredsställande skydd mot virus och andra oönskade program? Iakttagelser: Som skydd mot virus och annan skadlig kod har kommunen en etablerad lösning. Lösningen används inom hela kommunen. Rutiner i anslutning till denna har utarbetats tillsammans med den leverantör som används. Skyddet har diskuterats med ansvariga. Avseende mail finns samarbete med ytterligare en leverantör. Leverantören medverkar till att mail kontrolleras avseende spam och virus. Kommentarer och rekommendationer: Vi bedömer kommunens skydd mot virus och annan skadlig kod som tillfredställande. 4. Sammanfattande bedömning Vi vill sammanfatta granskningen med att många av de kontroller som vi genomfört varit tillfredställande. Dock har vi i granskningen funnit ett antal förbättringsområden. Vi konstaterar även att det har initierats och/eller påbörjats ett förbättringsarbete inom flera av de områden där vi funnit brister. Områden som vi uppmärksammat och där det finns ett förbättringsbehov sammanfattas i nedanstående punkter: Inom kommunen finns upprättade dokument som berör IT-säkerhetsområdet. Dock finns ett förbättringsbehov. T ex saknas den säkerhetsplan som anges i IT-strategin. Vår bedömning är dessutom att de dokument som finns är inte tillräckligt kommunicerade. Därmed finns risker att dokumenten inte fyller sina syften. Det är här vik- 16

tigt att se över hur olika dokument ska kommuniceras till ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp och givetvis att den är aktuell. Vi konstaterar att det har initierats ett arbete med att förbättra kommunens styrande dokument och riktlinjer i enlighet med BITS. I anslutning till detta vill vi peka på vikten av att det inom styrelser och nämnder genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen enligt de intentioner som finns i BITS. Vår bedömning är att rollen som IT-säkerhetsansvarig inte är tillräckligt tydliggjord. T ex kring organisatorisk placering, befogenheter och hur arbetet ska bedrivas avseende information och uppföljning mot verksamheterna. Vad vill förvaltningsledning och nämnder ha svar på och på vilket sätt ska detta rapporteras? Strömförsörjningen kring datorhallen bör ses över och förbättras. Skyddet mot brand i datorhallen bör förbättras t ex via utrusning där syret reduceras i händelse av brand. Det är viktigt att det genomförs en översyn kring hur leverantörer hanteras då de ges åtkomst till kommunens system. Regler och rutiner bör därefter tas fram. Inom nämnderna bör det säkerställas att skriftliga sekretessförbindelser används då leverantörer ges åtkomst till känsligt material. Risken för insyn i datorutrymme bör ses över och åtgärdas. Det är viktigt med förbättrade rutiner avseende återläsningskontroller av backuper. Tester att system går att återstarta efter eventuell diskkrasch bör ske rutinmässigt och inte bara då oförutsedda händelser inträffar. Ökade och tydliga krav från verksamheten (nämnderna) bör utarbetas. Vi föreslår att det sker en översyn avseende hur länge backuper förvaras (t ex av arkivskäl). Vi konstaterar att det finns ett behov av säkerhetsrelaterad utbildning varför det är viktigt att det inom nämnderna genomförs ökande aktiviteter för att förbättra användarens kompetens inom IT/informationssäkerhetsområdet. Här är det givetvis viktigt att styrelse och nämnder medverkar till att all personal deltar i aktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det sker ett systematiskt uppföljningsarbete av användares kunskap kring säkerheten. 17

Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). Den översyn som sker kring kommunens brandvägg är positiv. Det viktigt att det säkerställs att anställda inom kommunen är medvetna om att ITpersonal alltid måste legitimera sig innan tillträde ges till datorer. Det är viktigt att det inom nämnderna sker en översyn över var skrivare finns placerade samt rutiner och teknik kring utskrifter. Detta för att förebygga att utskrifter kan nås av obehöriga. Användarnas svar indikerar att problemet är betydande inom utbildningsförvaltningen. En översyn kring status avseende skärmsläckare bör genomföras inom nämnderna. Dvs att skärmsläckare finns och startar med automatik. Analyser för att identifiera följderna av eventuella katastrofer bör genomföras inom verksamheterna. En avbrottsplan bör därefter upprättas. Avbrottsplanen bör innehålla en beskrivning av vad som krävs för att starta driften på nytt, prioriteringar samt ansvaret för olika aktiviteter. 18

Bilaga 1 19

Grafen nedan visar total status för datorrummet. -100% -50% 0% 50% 100% Delvis Inte uppfylld Helt 20