2010-04-22 Dnr 2009/1077 2010:4 Granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem
2
IAF är förvaltningsmyndighet för tillsynen över arbetslöshetsförsäkringen och utövar tillsyn över arbetslöshetskassorna samt över handläggningen av ärenden hos Arbetsförmedlingen som påverkar arbetslöshetsförsäkringen. Denna rapport har utarbetats inom IAF av Pierre Jansson och Lisa Widén Rapporten godkänd för publicering Katrineholm den 22 april 2010 Anne-Marie Qvarfort Generaldirektör Gunilla Wandemo Chef för granskningsenheten Inspektionen för arbetslöshetsförsäkringen, IAF Box 210 641 22 Katrineholm Tfn: 0150-48 70 00 E-post: iaf@iaf.se www.iaf.se 3
4
Innehåll Sammanfattning... 6 1 Inledning... 7 1.1 Informationssäkerhet... 8 1.2 Medlemssystemen... 8 1.3 Uppdragets syfte och omfattning... 9 1.4 Avgränsningar... 9 1.5 Utfört arbete och angreppssätt... 10 1.5.1 sbedömning... 11 1.5.2 Riskbedömning av iakttagelser... 12 2 Resultat... 13 2.1 Hantering av systemförändringar... 13 2.1.1 Arbetslöshetskassornas mognadsnivå... 13 2.1.2 Iakttagelser hög risk... 14 2.1.3 Iakttagelser medium risk... 14 2.1.4 Iakttagelser lägre risk... 15 2.2 Filöverföringar till och från medlemssystemen... 15 2.2.1 Arbetslöshetskassornas mognadsnivå... 16 2.2.2 Iakttagelser hög risk... 16 2.2.3 Iakttagelser medium risk... 16 2.2.4 Iakttagelser lägre risk... 17 2.3 Behörighetshantering... 17 2.3.1 Arbetslöshetskassornas mognadsnivå... 17 2.3.2 Iakttagelser hög risk... 17 2.3.3 Iakttagelser medium risk... 18 2.3.4 Iakttagelser lägre risk... 19 2.4 Driftsäkerhet, reservrutiner och backuprutiner... 20 2.4.1 Arbetslöshetskassornas mognadsnivå... 20 2.4.2 Iakttagelser hög risk... 21 2.4.3 Iakttagelser medium risk... 22 2.4.4 Iakttagelser lägre risk... 22 3 Analys av resultat... 23 4 Slutdiskussion... 25 5
Sammanfattning Inspektionen för arbetslöshetsförsäkringen (IAF) har under hösten 2009 genomfört en granskning av informationssäkerheten i arbetslöshetskassornas medlemssystem. Granskningen omfattade samtliga tio medlemssystem. För medlemssystem som används av fler än en arbetslöshetskassa har IAF gjort ett urval och sammanlagt 15 arbetslöshetskassor har ingått i granskningen. Den sammanfattande bedömningen från granskningen är att arbetslöshetskassornas mognadsgrad i fråga om informationssäkerhet i medlemssystemen varierar. Generellt finns en mognadsnivå som innebär att rutiner finns för genomförande av interna kontroller, men att dessa vid granskningstillfället sällan är tillräckligt formellt dokumenterade och ofta saknar spårbarhet. snivåer för de 15 granskade arbetslöshetskassorna sammanfattas per granskningsområde i följande tabell (se kapitel 1 för beskrivning av mognadsnivåer): Område snivå 1 snivå 2 snivå 3 snivå 4 snivå 5 Systemförändringar 2 12 1 Filöverföringar 0 13 2 Behörighetshantering 2 9 4 Driftsäkerhet och reservrutiner 2 8 5 De iakttagelser som noterats har delats in i tre risknivåer, hög, medium och lägre risk. Totalt noterades elva iakttagelser med hög risk hos en eller flera av de granskade arbetslöshetskassorna. Dessa är: - Rutin för hantering av systemförändringar saknas - Acceptanstester utförs inte vid systemförändringar - Systemdokumentation saknas eller är inte tillgänglig - Formellt dokumenterad behörighetsrutin saknas - Gemensamt gruppkonto finns utan individuell spårbarhet - Bristande dualitet i åtkomst till medlemssystemet och OAS - Avsaknad av unika lösenord för inloggning - Anställda har inte skrivit på sekretessförbindelse - Formellt beslutad kontinuitetsplan saknas - Avtal saknas för drift av medlemssystemet - Bristande kravställning i driftavtal 6
1 Inledning Inspektionen för arbetslöshetsförsäkringen (IAF) har under hösten 2009 granskat informationssäkerheten i arbetslöshetskassornas medlemssystem. Uppdraget är en fördjupad granskning och uppföljning av tidigare granskningar av arbetslöshetskassornas informationssystem. Under 2005 och 2006 genomförde IAF en granskning av arbetslöshetskassornas medlemshantering. 1 Granskningen bestod av flera olika moment, bland annat en granskning av arbetslöshetskassornas medlemssystem. Vid den tidpunkten fanns 24 olika medlemssystem, och i de flesta fall delade arbetslöshetskassorna system med närliggande fackförbund. För ungefär hälften av arbetslöshetskassorna saknades avtal mellan arbetslöshetskassa och fackförbund gällande medlemssystemen. Det gjorde att viktiga aspekter av god informationssäkerhet såsom sekretess, uppgifternas riktighet och tillgänglighet, samt spårbarhet i systemet inte kunde säkerställas. I regleringsbrevet för 2008 fick IAF i uppdrag granska arbetslöshetskassornas informationssystem i syfte att säkerställa att systemen ger ett korrekt och säkert stöd i beslut om arbetslöshetsersättning. 2 Tyngdpunkten i granskningen låg på besluts- och utbetalningssystemet OAS men omfattade även delvis arbetslöshetskassornas medlemssystem. Granskningen påvisade brister i sekretess och tillgänglighet i medlemssystemen, liksom tveksamheter vad gäller medlemsuppgifternas riktighet. Inom ramen för 2009 års uppdrag i regleringsbrevet om arbetslöshetskassorna och systematisk internkontroll följde IAF upp 2008 års granskning av arbetslöshetskassornas informationssystem. Uppföljningen genomfördes genom enkäter till samtliga arbetslöshetskassor. Svaren visade på väsentliga informationssäkerhetsrisker inom både den övergripande förvaltningen av systemen och inom specifika processer. De slutsatser IAF hade kommit fram till i tidigare granskningar kvarstod i stora delar. IAF konstaterade att rutiner och kontroller för arbetslöshetskassornas hantering av informationssystemen måste formaliseras och kvalitetssäkras. IAF har anmodat de arbetslöshetskassorna som inte hade säkerställt alla identifierade utvecklingsområden inom informationssystemen att omedelbart vidta åtgärder. Inför granskningen av informationssäkerheten i arbetslöshetskassornas medlemssystem har en extern konsult, Transcendent Group, anlitats och bistått IAF i granskningen. Detta eftersom IAF saknar egen fördjupad kompetens inom IT-revisions- och informationssäkerhetsfrågor. 1 Arbetslöshetskassornas medlemshantering, 2006:13 2 IAF 2008/789 T3 7
1.1 Informationssäkerhet Informationssäkerhet kan beskrivas som förmågan att upprätthålla önskad sekretess, riktighet och tillgänglighet avseende information och informationstillgångar. Myndigheten för samhällsskydd och beredskap, MSB, framhåller utbetalning från arbetslöshetsförsäkringen som en samhällsviktig verksamhet. Enligt MSB:s egen definition är en samhällsviktig verksamhet: verksamhet som uppfyller det ena eller båda av följande villkor: 1) Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. 2) Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. När det gäller IT-system har MSB sammanställt baskrav för att säkerställa informationssäkerheten i samhällsviktiga system. Rekommendationen kallas BITS vilket står för Basnivå för informationssäkerhet. BITS utgör en lägsta nivå för informationssäkerhet och är med andra ord en miniminivå för ITsystem som hanterar samhällsviktiga verksamheter. 3 1.2 Medlemssystemen Antalet medlemssystem som används av arbetslöshetskassorna uppgår till tio stycken. En majoritet av arbetslöshetskassorna använder medlemssystemet Melos, ett system som Arbetslöshetskassornas Samorganisation (SO) har utvecklat och förvaltar. Övriga arbetslöshetskassors medlemssystem ägs och förvaltas ofta av det fackförbund eller den intresseorganisation som arbetslöshetskassan tillhör. Arbetslöshetskassornas hantering av medlemsuppgifter innebär myndighetsutövning och grundar sig på ett avtal mellan medlemmen och arbetslöshetskassan. Medlemsuppgifter som arbetslöshetskassorna ska tillhandahålla enligt 35 lagen 1998:239 om arbetslöshetskassor (LAK) utgörs av: 1) varje medlems namn, personnummer, postadress och tid för inträde i kassan, och 2) de avgifter och andra belopp som medlemmen har betalat in. 3 www.msb.se (Myndigheten för samhällsskydd och beredskap) 8
Medlemsavgiftens storlek är differentierad och bestäms av om en person arbetar eller är arbetslös och uppbär ersättning för sjukdom eller aktivitetsersättning. Uppgifter i medlemssystemen kan därmed vara av känslig karaktär och beloppet på medlemsavgiften till arbetslöshetskassan omfattas av sekretess från och med halvårsskiftet 2008. Eftersom uppgifterna i medlemsförteckningen till stor utgörs av personuppgifter är Personuppgiftslag (1998:2004) PuL, aktuell och tillämplig. Uppgifter i medlemssystemen utgör ett par av grundförutsättningarna vid beslut om arbetslöshetsersättning. Utöver att medlemskap är en grundförutsättning vid arbetslöshetskassans prövning av rätt till arbetslöshetsersättning, är också tidpunkten för beviljat medlemskap avgörande vid beslut om ersättningsnivån. En arbetssökande som har varit medlem i en arbetslöshetskassa under minst ett års tid och uppfyller medlemsvillkoret är berättigad till inkomstrelaterad ersättning. 1.3 Uppdragets syfte och omfattning Syftet med granskningen är att på ett övergripande plan kontrollera informationssäkerheten i arbetslöshetskassornas medlemssystem, i första hand ur ett ägar- och ansvarsperspektiv. Utöver detta är målet att inventera medlemssystemen och kartlägga systemens kommunikation med OAS, ärendehanteringssystemet ÄGA och Arbetsförmedlingens system AIS. Granskningen omfattar på en övergripande nivå följande granskningsområden: 1. Arbetslöshetskassornas metoder för genomförande av systemförändringar (teknisk granskning av kravspecifikationer gällande genomförda ändringar, processen för systemförändringar, behörighets- och säkerhetsfrågor för dem som utvecklar systemen med mera). 2. De delar av AIS, OAS och ÄGA som lämnar information till eller mottar information från medlemssystemen. Det gäller framförallt säkerheten vid överföring av uppgifter mellan systemen, men även kartläggning av förekommande automatiska kontroller, behörighetshantering och löpande säkerhetsfrågor. 3. Åtkomst och behörighetshantering (inkl. hanteringen av personuppgifter och sekretess enligt gällande lag - PuL samt Offentlighets- och sekretesslag). 4. Driftsäkerhet och reservrutiner samt rutiner för backup. 1.4 Avgränsningar I uppdraget ingår inte kontroll av riktigheten i filöverföringar mellan medlemssystemen och andra system. Frågor rörande riktighet i medlemsavgifter till arbetslöshetskassorna ligger också utanför granskningen. 9
1.5 Utfört arbete och angreppssätt Den operativa granskningen genomfördes i samarbete med Transcendent Group och omfattade samtliga medlemssystem. I de fall flera arbetslöshetskassor använde sig av samma medlemssystem valde IAF, för att uppnå en effektivare granskningsprocess, att göra ett urval. Sammanlagt 15 arbetslöshetskassor ingick i granskningen. 4 Granskningen genomfördes i följande steg: 1. Framtagande av granskningsprogram 2. Informationsinsamling och verifiering av interna rutiner och kontroller a. Intervjuade arbetslöshetskassor och dess medlemssystem: I. Akademikernas Erkända arbetslöshetskassa (Melos) II. Arbetslöshetskassan för Service och Kommunikation (Smed) III. Byggnadsarbetarnas arbetslöshetskassa (ByggIT) IV. Elektrikernas arbetslöshetskassa (Melos) V. GS arbetslöshetskassa (Fas3, Fas2009) VI. Handelsanställdas arbetslöshetskassa (HITS) VII. IF Metalls arbetslöshetskassa (Fas2) VIII. Kommunalarbetarnas arbetslöshetskassa (Melos, Medlem) IX. Livsmedelsarbetarnas arbetslöshetskassa (MySoft) X. Lärarnas arbetslöshetskassa (MOA) XI. Pappersindustriarbetarnas arbetslöshetskassa (Fas3) XII. Svensk Handels och Arbetsgivarnas arbetslöshetskassa (Melos) XIII. Sveriges Arbetares arbetslöshetskassa (FileMaker Pro) XIV. Transportarbetarnas arbetslöshetskassa (Fas2) XV. Unionens arbetslöshetskassa (Medwind) XVI. Arbetslöshetskassornas Samorganisation (Central systemägare Melos) 5 b. Granskning av relevant dokumentation och revisionsbevis, t ex i form av behörighetslistor och driftavtal 3. Analysera resultatet 4. Generera en rapport. 4 Från och med 2010 använder 21 arbetslöshetskassor Melos. Av dessa har vi granskat fyra arbetslöshetskassor varav två med ett stort antal medlemmar och två med färre medlemmar. 5 SO har som central systemägare för Melos en förvaltningshandbok som beskriver rutiner. Granskningen avser dock arbetslöshetskassornas egna formella rutiner alt. arbetslöshetskassornas dokumenterade beslut att följa SO:s förvaltningshandbok. 10
1.5.1 sbedömning För varje arbetslöshetskassa har en bedömning gjorts av mognadsgrad inom respektive granskningsområde. Bedömningen baseras på COBIT 6 Maturity Model som är ett ramverk för styrning av IT och innehåller fem mognadsnivåer. Bedömningen är baserat på information som erhållits i samband med intervjuer och erhållen dokumentation. I bedömningen av mognadsnivå har vi inte tagit hänsyn till arbetslöshetskassornas storlek. Beskrivning av mognadsnivåer 1 - Initierad/ad hoc Det finns bevis för att organisationen identifierat behovet av intern kontroll. Det finns inga standardiserade processer utan istället sker oplanerade kontrollaktiviteter på olika sätt från fall till fall. Den övergripande synen på ledning och styrning är otydlig. 2 - Repeterbar men intuitiv Processer är utvecklade i den utsträckningen att rutiner genomförs på samma sätt av olika personer. Ingen formell utbildning eller information finns avseende standardiserade rutiner och ansvar för efterlevnad av dessa är kopplat till individen. Det finns ett stort personberoende vilket ökar risken för fel. 3 - Definierad Rutiner har standardiserats, dokumenterats och kommunicerats genom utbildning. Det finns krav på att dessa rutiner ska följas, dock är det inte sannolikt att avvikelser upptäcks. Rutinerna är mer beskrivningar av befintligt arbetssätt än genomtänkta aktiviteter. 4 - Förvaltad och mätbar Ledningen övervakar och mäter att rutinerna följs och vidtar åtgärder när detta inte sker. Rutinerna förbättras kontinuerligt och följer god praxis. Automatisering och verktyg för hantering av intern kontroll används i begränsad utsträckning. 5 - Optimerad Rutinerna har utvecklats till en förfinad nivå av god praxis som följd av kontinuerliga förbättringar och jämförelser med andra organisationer. IT används på ett integrerat sätt för att automatisera arbetsflöden och förse verksamheten med verktyg för att förbättra kvalitet och effektivitet, vilket skapar förutsättningar för snabba anpassningar. 6 COBIT = Control Objectives for Information and Related Technology 11
1.5.2 Riskbedömning av iakttagelser De iakttagelser som har noterats har delats in i tre risknivåer; hög, medium och lägre risk. Dessa risknivåer har definierats enligt följande: Hög risk = Allvarlig brist i den interna kontrollen som kan få stor påverkan på effektivitet och uppfyllande av verksamhetens mål. Bör åtgärdas snarast. Medium risk = Brist i den interna kontrollen som kan påverka effektivitet och uppfyllande av verksamhetens mål. Bör åtgärdas inom 3-6 månader. Lägre risk = Brist i den interna kontrollen som i mån av tid och resurser bör åtgärdas inom 6-12 månader. 12
2 Resultat I detta kapitel beskrivs resultatet från granskningen. Inom varje granskningsområde presenteras arbetslöshetskassornas mognadsnivåer följt av identifierade iakttagelser på aggregerad nivå. I flera fall har iakttagelser som noterats vid intervjutillfället åtgärdats innan resultatet från granskningen presenterats i denna rapport. Kapitlet avslutas med en slutsats från granskningen. 2.1 Hantering av systemförändringar Hantering av systemförändringar avser främst arbetslöshetskassans rutiner och interna kontroller i samband med programuppdateringar i medlemssystemet. Exempel på viktiga interna kontroller är att det finns en dokumenterad rutinbeskrivning för denna process, att acceptanstester utförs och dokumenteras samt att driftsättning av nya versioner baseras på formella godkännanden från arbetslöshetskassan. 2.1.1 Arbetslöshetskassornas mognadsnivå snivå Hantering av systemförändringar Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt 2 12 1 s-nivå 4 s-nivå 5 13
2.1.2 Iakttagelser hög risk Ändringshanteringsrutin saknas Vi har noterat att 13 av 15 de granskade arbetslöshetskassorna, saknar en dokumenterad och formaliserad rutin med kontrollpunkter vid hantering av programändringar. En sådan rutin bör omfatta såväl programändringar i medlemssystemet som andra system vare sig de utvecklas och driftas internt eller av tredje part. Risk föreligger att ändringar inte hanteras på ett korrekt, tydligt och konsekvent sätt. Avsaknad av formaliserad rutin för ändringshantering försvårar även möjligheten att följa och logga en ändring genom processen samt ökar risken för att icke godkända ändringar blir driftsatta. En konsekvens av detta kan vara driftstörningar, avbrott eller att verksamhetskritiska system inte fungerar i enlighet med uppsatta krav och mål. En dokumenterad och formaliserad ändringsrutin bör inkludera krav på loggning och spårbarhet samt innehålla kontrollpunkter för t ex prioritering, akuta förändringar, godkännande och test av ändringar. Acceptanstester utförs inte Vid granskningen framkom att 2 av de 15 arbetslöshetskassorna inte utför någon acceptanstestning i samband med programuppgraderingar av medlemssystemet. Utan tillräcklig testning av nya programfunktioner ökar risken för driftstörningar, avbrott eller att systemet inte fungerar i enlighet med uppsatta krav och mål. Systemdokumentation saknas alternativt är inte tillgänglig för arbetslöshetskassan Fem av de granskade arbetslöshetskassorna känner inte till om det finns systemdokumentation alternativt vet att uppdaterad systemdokumentation saknas för medlemssystemet. Systemdokumentation bör innehålla information om vad medlemssystemets olika delar består av, övergripande beskrivning av de olika delarnas uppgift samt en detaljerad systembeskrivning. Systemdokumentationen skall kunna användas av en utomstående programmerare för att förstå och kunna vidareutveckla systemet. Avsaknad av eller bristande systemdokumentation kan leda till stora driftstörningar och bristande utvecklingsmöjligheter i det fall den nuvarande utvecklaren av någon anledning skulle bli otillgänglig. 2.1.3 Iakttagelser medium risk Acceptanstester saknar dokumentation Vi har noterat att 8 av de 15 granskade arbetslöshetskassorna inte dokumenterar sina genomförda acceptanstester vid programuppdateringar i medlemssystemen. Genomförda tester bör dokumenteras med hjälp av ett standardiserat testprotokoll eller liknande dokument som skriv under av personen som har utfört testningen. Utan dokumenterade tester ökar risken 14
för att viktiga tester inte blir utförda vilket kan leda till minskad kännedom om systemets funktionalitet och eventuella brister. Vid ett eventuellt systemfel i en ny version kan även möjligheten till identifiering av felkällan försvåras. Formellt godkännande inför driftsättning saknas Tio av de granskade arbetslöshetskassorna saknar formellt och dokumenterat godkännande inför produktionssättning av förändringar i sina medlemssystem. Utan ett formellt godkännande av ansvarig finns risk att icke godkända produktionssättningar genomförs. Produktionsdata används vid utveckling och testning av medlemssystemen Vid 14 av 15 av de granskande arbetslöshetskassorna används produktionsdata av extern leverantör vid utveckling och testning av nya programversioner av medlemssystemet. Att använda produktionsdata med verkliga personuppgifter är inte rekommenderat enligt BITS (Av Myndigheten för samhällsskydd och beredskap, MSB, rekommenderad basnivå för informationssäkerhet ). I det fall produktionsdata, som inte har anonymiseras före användning, används för teständamål bör följande kontroller tillämpas (enligt BITS): Rutiner för styrning av åtkomst som tillämpas för produktionssystem bör också gälla vid test av sådana system Särskild behörighet bör ges varje gång produktionsdata kopieras till ett testsystem. Produktionsdata bör raderas från testsystem genast efter avslutad test. Kopiering av produktionsdata bör loggas för att få spårbarhet. 2.1.4 Iakttagelser lägre risk Inga iakttagelser noterades med lägre risk. 2.2 Filöverföringar till och från medlemssystemen Granskningen avser främst arbetslöshetskassornas interna kontroll och övervakning av de filöverföringar som sker till och från medlemssystemen. Granskningen visade att endast ett begränsat antal filöverföringar sker till och från medlemssystemen. För de arbetslöshetskassor som använder systemet ÄGA sker inga filöverföringar till eller från medlemssystemet i form av batch eller liknande satsvisa överföringar då systemen är integrerade och överföring mellan systemen sker i realtid. 15
Internt kommunicerar medlemssystemen med något undantag endast med OAS, där information både hämtas (information om arbetslöshet) och lämnas (uppdatering av medlemsuppgifter) via batchöverföringar. Externt sker filöverföringar främst med Bankgirocentralen för hantering av inbetalningar och för hantering av autogiro, adressuppdateringar via Spar samt att printfiler skickas i samband med avisering av medlemsavgifter. 2.2.1 Arbetslöshetskassornas mognadsnivå snivå Filöverföringar till och från medlemssystemet Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 s-nivå 4 s-nivå 5 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt 0 13 2 2.2.2 Iakttagelser hög risk Inga iakttagelser med hög risk noterades. 2.2.3 Iakttagelser medium risk Bristfällig filöverföring till OAS Vid två av de granskade arbetslöshetskassorna leder filöverföringen från medlemssystemet till OAS, med uppdatering av medlemsuppgifter, till avvikelser vilket skapar tidskrävande manuellt merarbete i form av uppföljning och avstämning. Detta ökar risken för fel men skapar framförallt en ineffektiv hantering av arbetslöshetsförsäkringen. Genom att arbetslöshetskassorna tillsammans med systemutvecklare och driftleverantör genomför en utredning av problemen vid filöverföringen till OAS bör felen i denna hantering kunna minimeras. 16
2.2.4 Iakttagelser lägre risk Inga iakttagelser med låg risk noterades. 2.3 Behörighetshantering Granskningen av behörighetshantering avser främst rutiner och interna kontroller för styrning av behörigheter och administration av behörighetsförändringar. Exempel på viktiga interna kontroller är att det finns en dokumenterad rutin för styrning och administration av behörigheter, att det sker regelbundna uppföljningar av befintliga behörigheter, att systembehörigheter är begränsade till dem som behöver dessa för att utföra sina arbetsuppgifter samt att tillämpliga lagar avseende personuppgifter och sekretess efterlevs. 2.3.1 Arbetslöshetskassornas mognadsnivå snivå Behörighetshantering Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 s-nivå 4 s-nivå 5 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt 2 9 4 2.3.2 Iakttagelser hög risk Formell behörighetsrutin saknas Vi har noterat att 7 av de 15 granskade arbetslöshetskassorna saknar en formellt godkänd och dokumenterad rutin för hantering av behörigheter i medlemssystemen. Ett antal arbetslöshetskassor använder en standardiserad behörighetsblankett, men saknar en beskrivning av rutinen för behörighetshantering. Utan en dokumenterad rutin, som är formellt godkänd av ansvarig chef, ökar risken för att tilldelning eller borttagning av 17
behörigheter inte sker och inte heller dokumenteras på ett korrekt, godkänt och standardiserat sätt. Gemensamt gruppkonto används för inloggning till medlemssystemet Vi har noterat att det förekommer gruppkonton i medlemssystemen, dvs. användarkonton som inte är unika för varje specifik användare. Detta förekom hos 3 av 15 granskade arbetslöshetskassor. I de flesta fall handlande det om konton som används av driftleverantören. Det föreligger en risk för att det i efterhand inte går att utröna vem som utfört aktiviteter i systemet då flera individer kan ha använt samma användarkonto. Vissa gruppkonton krävs för att t ex genomföra batchkörningar. Denna typ av systemkonton skall dock inte kunna utnyttjas av en användare för inloggning till systemet. Bristande dualitet Vi har noterat att sex av de granskade arbetslöshetskassorna har personal med både registrerings- och ändringsrättigheter i medlemssystemet samt ändringsrättigheter i OAS för generering av utbetalningar. Dessa behörigheter i kombination ökar risken för oegentligheter som kan genomföras av en enskild medarbetare. Avsaknad av unika lösenord Tre av de granskade arbetslöshetskassorna kräver inte unika lösenord för inloggning till medlemssystemet. Lösenord som är allmänt kända i organisationen ökar risken för att medarbetare olovligen utnyttjar andra medarbetares användarkonton för att utföra oegentligheter. Anställda vid arbetslöshetskassan har inte skrivit under sekretessförbindelse Vid två av de granskade arbetslöshetskassorna har medarbetarna inte skrivit under någon form av sekretess- eller tystnadspliktsförbindelse. Utan interna avtal med de anställda minskar arbetslöshetskassans rätt att ställa krav på sekretess och tystnadsplikt för hantering av arbetslöshetskassans information, däribland känsliga medlemsuppgifter. 2.3.3 Iakttagelser medium risk Uppföljning av behörigheter utförs inte alternativt dokumenteras inte Vi har noterat att det hos 8 av 15 arbetslöshetskassorna inte genomförs en regelbunden granskning av redan utdelade behörigheter i medlemssystemet alternativt att sådana inte dokumenteras. Utan en regelbunden kontroll, åtminstone två gånger per år, av redan utdelade behörigheter finns en risk för att användare som har slutat eller bytt arbetsuppgifter fortfarande har åtkomst till systemet. 18
Onödigt höga behörigheter Vi har noterat att tre av de granskade arbetslöshetskassorna har onödigt många användare med höga behörigheter i medlemssystemet. Orsaken till detta är enligt arbetslöshetskassorna dels att behörighetsnivåerna i systemet är för få och dels att arbetslöshetskassan vill ha backup i det fall de som normalt jobbar i medlemssystemet inte skulle vara tillgängliga. Ett stort antal individer med höga behörigheter innebär en ökad risk för felaktigheter eller avsiktligt missbruk. Vid sjukdom och annan frånvaro bör rutiner finnas för att tillfälligt tilldela nödvändiga behörigheter. Lösenordskrav saknas i systemet Vid tio av arbetslöshetskassorna finns inga krav på lösenordsbyte, antal tecken eller komplexitet för lösenorden i medlemssystemen. Det finns inte heller någon automatisk låsning av användarkontot vid flera misslyckade inloggningsförsök. Vid bristande lösenordskrav föreligger en risk att lösenordet blir känt och obehöriga användare kan få tillgång till system och känslig information. I de fall starka lösenordskrav finns vid inloggning till arbetslöshetskassans nätverk begränsas risken för oegentligheter. Riktlinjer för PuL och andra lagar saknas Tio av de granskade arbetslöshetskassorna saknar dokumenterade riktlinjer eller rutiner för sina medarbetare avseende efterlevnad av Personuppgiftslagen (PuL) och andra lagar såsom sekretess- och offentlighetslagen. Utan kommunicerade riktlinjer och rutiner för hantering av känsliga uppgifter ökar risken för att sekretessbelagd medlemsinformation hamnar i orätta händer. Fackförbundets och arbetslöshetskassans medlemmar hanteras inte åtskiljt i medlemssystemet Vi har noterat att fackförbundets medlemmar och arbetslöshetskassans medlemmar inte hanteras åtskiljt i medlemssystemet för fem av arbetslöshetskassorna. Fackförbundets anställda har därmed möjlighet att se arbetslöshetskassans medlemsuppgifter. I de fall uppgifterna behöver återfinnas i samma databas bör åtkomsten särskiljas så att fackförbundsanställda inte har någon form av läsrättighet till arbetslöshetskassans medlemsregister. Att kassan inte kan styra och begränsa åtkomsten till medlemsuppgifterna på ett tillfredsställande sätt kan innebära en behandling i strid med PuL. 2.3.4 Iakttagelser lägre risk Avslutsdatum går inte att lägga in systemet för tillfälligt anställda För tre av de granskade arbetslöshetskassorna går det inte att lägga in tidsbegränsade behörigheter för tillfälligt anställda. För konsulter och tillfälligt anställda är risken större att behörigheter inte tas bort vid avslutad tjänst då denna hantering ofta inte är en del av normala rutiner. Ett sätt att undvika 19
denna risk är att registrera behörigheter med avslutsdatum i systemet. 2.4 Driftsäkerhet, reservrutiner och backuprutiner Inom området driftsäkerhet, reservrutiner och backuprutiner har vi framförallt granskat arbetslöshetskassornas interna kontroll och säkerhet i driften av medlemssystemet. Detta omfattar exempelvis rutiner och kontroller för att säkerställa att informationen i medlemssystemet är tillgänglig vid behov samt att arbetslöshetskassan kan fortsätta sin verksamhet i händelse av ett längre driftavbrott där IT-system inte är tillgängliga. Tre av de arbetslöshetskassor som granskades har egen drift av medlemssystemet. Utav de övriga tolv har fem eget avtal med driftleverantören och för de resterande sju är det arbetslöshetskassans fackförbund som har avtal med driftleverantören. I de fall där fackförbundet har avtalet med driftleverantören är det endast i vissa fall som det finns ett avtal mellan fackförbundet och arbetslöshetskassan. 2.4.1 Arbetslöshetskassornas mognadsnivå snivå Driftsäkerhet, reservrutiner och backuprutiner Arbetslöshetskassa s-nivå 1 s-nivå 2 s-nivå 3 s-nivå 4 s-nivå 5 AEA Byggnads Elektrikernas GS Handels IF Metall Livsmedelsarbetarn Lärarnas Kommunal Pappers SEKO SHA Sveriges arbetares Transportarbetarna Unionen Totalt 2 8 5 20
2.4.2 Iakttagelser hög risk Formell kontinuitetsplan saknas För 11 av de 15 granskade arbetslöshetskassorna, det vill säga 73 procent, saknas en formellt beslutad kontinuitetsplan för hur verksamheten skall fortlöpa i händelse av ett längre driftavbrott eller annan typ av katastrofsituation där ordinarie IT-miljö och/eller arbetsplats inte är tillgänglig. Syftet med en kontinuitetsplan är att motverka avbrott i organisationens verksamhet och att skydda kritiska verksamhetsprocesser från verkningarna av allvarliga fel i informationssystem eller katastrofer samt att säkra återstart inom rimlig tid. Planen bör inkludera specifika krav för återskapande av systemen inom definierade tidsramar. Kontinuitetsplanering är ett basnivåkrav enligt BITS-standarden. Utan en uppdaterad katastrof/kontinuitetsplan för affärskritisk verksamhet saknas en beredskap och medvetenhet inom organisationen för hur en större incident skall hanteras i syfte att fortsätta med verksamheten. Driftavtal saknas 33 procent av de granskade arbetslöshetskassorna med extern drift saknar ett giltigt avtal för denna drift. Vid vissa av dessa arbetslöshetskassor har fackförbundet ett avtal med driftleverantören, dock saknas då ett avtal mellan arbetslöshetskassan och fackförbundet. Dessa arbetslöshetskassor har därmed inga avtalade krav på medlemssystemets tillgänglighet, övervakning, patchhantering 7, support eller säkerhetskopiering (backuper). Detta innebär en ökad risk för väsentliga driftstörningar och förlust av information. För de flesta av dessa arbetslöshetskassor pågick vid tidpunkten för granskningen ett arbete för att upprätta driftavtal. Bristande kravställning i driftavtal Hantering av arbetslöshetsersättning är en samhällsviktig verksamhet. Detta innebär att driften av medlemssystemet bör följa basnivåkrav för informationssäkerhet (BITS). Dessa basnivåkrav finns även dokumenterade i den informationssäkerhetshandbok som distribuerats av SO till samtliga arbetslöshetskassor. Vi har dock noterat att 38 procent av arbetslöshetskassorna som har formaliserade externa driftavtal inte ställt krav på sina driftleverantörer som motsvarar dessa basnivåkrav. Exempel på områden som i flera avtal saknar kravställning är katastrofplaner, återläsningstester av backuper och patchhantering. Utan tillräckliga krav på informationssäkerhet finns risk att känslig information inte hanteras på ett tillbörligt sätt, vilket kan innebära risker för systemets tillgänglighet, integritet och sekretess. 7 Hantering av mindre systemuppdateringar i produktionsmiljö 21
2.4.3 Iakttagelser medium risk Återläsningstester av backuper utförs inte av arbetslöshetskassor med egen drift Ingen av de arbetslöshetskassorna som har egen systemdrift utför regelbundna återläsningstester av backuper. Om test av säkerhetskopior genom återläsning inte sker regelbundet ökar risken att återskapandet av data efter exempelvis en serverkrasch eller annan incident inte fungerar tillfredsställande i skarpt läge. Med regelbundenhet avses här 1-2 tillfällen per år. Avsaknad av patchuppdateringar för arbetslöshetskassor med egen drift Vi har noterat att 33 procent av de granskade arbetslöshetskassorna med egen drift inte utför regelbundna patchuppdateringar i driftmiljön (operativsystemet) för medlemssystemet. Nya uppdateringar i form av programfixar eller patchar, utvecklas kontinuerligt av systemleverantören. Dessa uppdateringar syftar till att rätta till identifierade felaktigheter i mjukvara, som kan utnyttjas för att få obehörig åtkomst eller orsaka störningar. Om uppdateringarna inte installeras löpande så finns en risk att felaktigheterna kan utnyttjas av obehöriga. Vidare är de flesta felaktigheterna allmänt kända, vilket ytterligare påvisar behovet av kontinuerlig hantering. 2.4.4 Iakttagelser lägre risk Inga iakttagelser med lägre risk noterades. 22
3 Analys av resultat I följande kapitel analyseras iakttagelserna uppdelade utifrån de områden som granskats. Systemförändringar Inom området systemförändringar är de allvarligaste iakttagelserna att dokumenterade rutiner för hantering av systemförändringar saknas, att acceptanstester inte utförs vid systemförändringar samt att systemdokumentation är bristfällig eller saknas. För medlemssystemet Melos hanteras en stor del av förändringsarbetet av Arbetslöshetskassornas Samorganisation, SO, vilket ökar både kvalitet och spårbarhet i hanteringen. Vi bedömer att SO har en viktig roll i att successivt arbeta för att förbättra rutiner och kontroller i samband med systemförändringar. SO är central systemägare för Melos medan kassaföreståndarna på respektive arbetslöshetskassa är lokala systemägare. Filöverföringar Vi har under granskningen inte noterat några allvarliga iakttagelser i samband med medlemssystemens filöverföringar till och från andra system. I de allra flesta fall bedöms detta fungera problemfritt, trots att arbetslöshetskassorna generellt saknar dokumenterade rutiner för övervakning av filöverföringarna. Risken för väsentliga fel bedöms som relativt liten. Behörighetshantering Iakttagelser med hög risk inom hantering av behörigheter omfattar avsaknad av dokumenterad rutin för administration av behörigheter, användning av gemensamma gruppkonton för inloggning till medlemssystemet, bristande dualitet i form av att samma personer både kan ändra medlemsuppgifter och generera utbetalningar, avsaknad av unika lösenord samt avsaknad av sekretessförbindelse för de anställda på arbetslöshetskassan. Hanteringen av behörigheter sker i många fall relativt informellt. Det framgår tydligt att möjligheten att upprätthålla formaliserade rutiner och en hög nivå av informationssäkerhet är enklare för arbetslöshetskassor med många medlemmar. Samtidigt är risken större att fel behörighet tilldelas en anställd i en arbetslöshetskassa med över hundra anställda jämfört med en arbetslöshetskassa där antalet anställda understiger tio personer. Informationssäkerhet och skydd av personuppgifter bör dock inte vara avhängigt vilken arbetslöshetskassa man är medlem i. Vid upprätthållande av dualitet i hanteringen av arbetslöshetsförsäkringen eftersträvas att hanteringen av medlemsuppgifter såsom tidpunkt för in- och utträde inte skall kunna utföras av samma personer som hanterar försäkringsärenden och utbetalningar i OAS-systemet. 23
Driftsäkerhet, reservrutiner och backuprutiner Inom området driftsäkerhet och reservrutiner har tre iakttagelser med hög risk noterats. Dessa är avsaknad av formellt dokumenterad kontinuitetsplan, avsaknad av driftavtal och bristande kravställning i driftavtal. Även om drift av medlemssystemet och andra system är utkontrakterade till extern part är det viktigt att arbetslöshetskassorna utvärderar sina risker och definierar krav på informationssäkerhet i sina avtal med driftleverantörerna. Oavsett om arbetslöshetskassan hanterar driften internt eller externt är det även viktigt att rutiner för fortsatt verksamhet i händelse av ett längre driftsstopp definieras i en kontinuitetsplan. 24
4 Slutdiskussion Följande tabell visar en sammanställning av mognadsnivå per granskningsområde för de 15 arbetslöshetskassor som har granskats. Område s -nivå 1 s -nivå 2 s -nivå 3 s -nivå 4 s -nivå 5 Systemförändringar 2 12 1 Filöverföringar 0 13 2 Behörighetshanteri ng Driftsäkerhet och reservrutiner 2 9 4 2 8 5 Arbetslöshetskassornas mognadsgrad varierar, men generellt har arbetslöshetskassorna vid granskningstillfället en mognadsnivå som innebär att det finns rutiner för genomförande av interna kontroller. Rutinerna är dock sällan tillräckligt formellt dokumenterade och kontrollerna saknar ofta spårbarhet. För att uppnå miniminivån för informationssäkerhet enligt BITS bör mognadsnivån motsvara nivå tre. Vid en sammanställning av granskningens resultat kan IAF se att arbetslöshetskassorna generellt sett uppnår mognadsnivå två. Även om dessa två skalor inte är direkt jämförbara visar resultatet på ett behov av ett fortsatt utvecklingsarbete för att arbetslöshetskassorna ska uppnå en god informationssäkerhet i medlemssystemen. Identifierade iakttagelser sammanfattas i följande tabell: Område/Risknivå Hög Medium Lägre Systemförändringar 3 3 0 Filöverföringar 0 1 0 Behörighetshantering 5 5 1 Driftsäkerhet och reservrutiner 3 2 0 Totalt 11 11 1 Totalt noterades elva iakttagelser med hög risk hos en eller flera av de granskade arbetslöshetskassorna. Dessa är: - Rutin för hantering av systemförändringar saknas - Acceptanstester utförs inte vid systemförändringar 25
- Systemdokumentation saknas eller är inte tillgänglig - Formellt dokumenterad behörighetsrutin saknas - Gemensamt gruppkonto finns utan individuell spårbarhet - Bristande dualitet i åtkomst till medlemssystemet och OAS - Avsaknad av unika lösenord för inloggning - Anställda har inte skrivit på sekretessförbindelse - Formellt beslutad kontinuitetsplan saknas - Avtal saknas för drift av medlemssystemet - Bristande kravställning i driftavtal IAF vill poängtera att det pågår en mängd förbättringsaktiviteter avseende informationssäkerheten på arbetslöshetskassorna. Under granskningens genomförande har det framgått tydligt att medvetenheten kring risker inom området informationssäkerhet blir allt högre. Samtliga arbetslöshetskassor som har ingått i granskningen har tagit del av rapporten och har haft möjlighet att lämna synpunkter på granskningsresultatet och de kassaspecifika brister som iakttogs i granskningen. Arbetslöshetskassornas svar bekräftar att det pågår ett utvecklingsarbete gällande informationssäkerheten i IT-systemen. Sedan granskningen, som genomfördes hösten 2009, har arbetslöshetskassorna åtgärdat flera av de brister som iakttogs. Mot bakgrund av det är arbetslöshetskassornas mognadsnivå sannolikt högre idag än vid tillfället för granskningen. Flera av de granskade arbetslöshetskassorna som har egna medlemssystem har antingen beslutat eller funderar på att byta till ett större medlemssystem, i de flesta fall till FAS3 eller Melos. Dessa har lyft fram detta som en orsak till att de inte har åtgärdat kända brister i befintliga medlemssystem. IAF har i 2010 år regleringsbrev fått i uppdrag att följa upp arbetslöshetskassornas arbete med informationssäkerheten i IT-systemen. 26