www.pwc.se Revisionsrapport Ragnar Malmros Anna Lång Jon Arwidson Juni 2015 Granskning av IT-säkerhet Oskarshamns kommun
Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund... 1 1.2. Revisionsfråga... 1 1.3. Granskningens omfattning... 2 2. Sammanfattning... 4 3. Observation, risk och rekommendation... 11 4. Appendix 1 - Genomförande... 19 5. Appendix 2 - Dokumentförteckning samt intervjuer... 20 6. Appendix 3 - Definitioner... 21 2
1. Inledning 1.1. Bakgrund Kommuner blir alltmer beroende av sina informationssystem. Ny teknik utgör en viktig komponent för fungerande och effektiva verksamhetsprocesser men introducerar även nya risker. Kommunikationen med omvärlden ökar i omfattning och systemen blir mer integrerade såväl inom kommunen som med andra intressenter. Detta ställer krav på ett balanserat risktagande och ett väl fungerande säkerhetsarbete. Informationen måste skyddas mot obehörig åtkomst samtidigt som den skall finnas tillgänglig och dessutom vara tillförlitlig - rätt information i rätt tid och för rätt personer. En ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk och funktionell plattform är en viktig förutsättning för en effektiv verksamhet. Inom ramen för revisionsarbetet har revisorerna uppmärksammat IT-säkerhet i sin risk- och väsentlighetsbedömning. 1.2. Revisionsfråga Har kommunstyrelsen på en övergripande nivå ändamålsenliga rutiner och processer för att hantera IT-säkerhet? 1.2.1. Revisionskriterier Relevanta styrdokument avseende IT-säkerhet. 1.2.2. Kontrollmål Det finns ett strukturerat arbete för att säkerställa en god IT-säkerhet? Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat? Behörigheter till applikationer granskas periodiskt? Applikationen skyddas med lösenord som efterlever satta policys och leading practice? Loggfunktionalitet finns aktiverad i kritiska applikationer? Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Ändamålsenlig förändringshanteringsrutin finns på plats? Rutiner för backup och avbrottshantering finns definierade? Utbildning av personal sker i IT-säkerhet? Oskarshamn kommun 1 av 22
Den interna kontrollen över IT och informationssäkerhet bedöms utifrån följande kriterier: Det finns en övergripande informationssäkerhetspolicy för kommunen. Det finns tydliga processer och riktlinjer definierade för tilldelning och utnyttjande av applikationer och system. Det finns kontroller, kontrollmoment och uppföljningsprocesser definierade där uppföljning av vad tredjepartsleverantören gör i systemen inkluderas, i syfte att säkerställa fullständighet och riktighet. Avsaknad eller brister inom dessa områden kan påverka tillgänglighet, riktighet och konfidentialitet, för både finansiell och icke finansiell information. Granskningen har utförts genom intervju med nyckelpersoner inom Oskarshamns kommun, samt med systemförvaltare för två applikationer som används inom hela kommunen. Vidare har stödjande dokumentation granskats. Granskningen har genomförts under juni 2015. 1.2.3. Avgränsning Granskning ska främst fokusera på central hantering för att säkerställa att den interna kontrollen när det gäller IT-säkerhet är tillräcklig. Granskningen avser inte att vara: Bestyrkande. Tredjeparts bekräftelse (s.k. Third Party Assurance ). Intyg av drift/processer/intern kontroll. För mer information gällande metod och intervjuade personer se Appendix 1 och 2. 1.3. Granskningens omfattning Granskningen har utförts genom intervju med nyckelpersoner inom kommunen och systemförvaltare för två av de applikationer som används av hela kommunen. Samt granskning av stödjande dokumentation, policys och riktlinjer. Granskningen har avgränsats till nedanstående kontrollområden. Granskingens sakinnehåll har sakgranskats av Tomas Karlsson, IT-chef och Lars Blomberg, Säkerhetschef. Oskarshamn kommun 2 av 22
IT-styrning/ ansvarfördelning och förvaltningsrutiner - Det finns ett strukturerat arbete för att säkerställa en god ITsäkerhet? - Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? - Utbildning av personal sker i IT-säkerhet? Behörighetshantering - Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat. - Behörigheter till applikationer granskas periodiskt? - Applikationen skyddas med lösenord som efterlever satta policys och leading practice? - Loggfunktionalitet finns aktiverad i kritiska applikationer? - Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Förändringshantering - Ändamålsenlig förändringshanteringsrutin finns på plats? Drift - Rutiner för backup och avbrottshantering finns definierade? Granskningen har övergripande omfattat behörigheter och ansvarsfördelning i följande applikationer: Ref. nr. Applikation 1 Raindance 2 Public 360 Oskarshamn kommun 3 av 22
2. Sammanfattning Revisionen har genomfört en övergripande granskning av informationssäkerhet och IT-säkerhet på kommunen. Utgångspunkten för granskningen har varit att förstå om kommunen har ändamålsenliga rutiner och processer för att hantera ITsäkerhet. Granskningens utgångspunkt har varit den centrala IT-avdelningen och deras arbete, samt genom att granska förvaltningen för två applikationer inom kommunen. IT-avdelningen jobbar på uppdrag av kommunstyrelsen och tillhör kommunkontoret. IT-avdelningen har ansvar för all IT inom kommunen och tre bolag. Det arbetar 20 personer på IT-avdelningen varav 12 renodlat med IT. Avdelningen leds idag av IT-chefen. IT-chefen har till sin hjälp en övergripande säkerhetschef som stöttar i alla frågor som rör säkerhet. Säkerhetschefen tillhör formellt Räddningstjänsten. IT-chefen ingår inte i kommunens ledningsgrupp. IT-avdelningen har ansvar för ca 150 system, 2 500 PC-klienter och 1 000 läsplattor/ mobiler fördelat på 5 500 användare. All drift av operativsystem, databas och applikationer sköts av IT-avdelningen medan systemförvaltningen sköts av verksamheten. IT-avdelningen har hand om både informations- och IT-säkerhet men det finns inte en person som formellt är utsedd till att vara den informationssäkerhetsansvarig för hela kommunen. Ansvaret för informationssäkerhet faller på respektive förvaltningschef för den information som förvaltningen hanterar. Det finns inget formellt uppdrag från kommunstyrelsen att avsätta resurser till att arbeta med frågor kring informations- och IT-säkerhet. IT-chefen arbetar i praktiken med dessa frågor. Det finns samarbeten med Regionförbundet i Kalmar län genom en informationssäkerhetssamordnare och med kommunerna Högsby och Hultsfred där det finns två gemensamma personer som arbetar med verksamhetsutveckling med stöd av IT. Det finns även ett länsgemensamt projekt där Myndigheten för samhälsskydd och beredskap (MSB) har tilldelat 1,5 MSEK till kompetenshöjande åtgärder inom informationssäkerhet vilket anses vara positivt. IT-styrning/ ansvarfördelning och förvaltningsrutiner Kommunen saknar informationssäkerhetspolicy. Det finns ett dokument med regler gällande IT som är det senaste formella styrdokumentet. IT-reglerna gäller från år 2006 men det saknas information om när reglerna senaste uppdaterades. Dokumentet liknas vid en instruktion för hur kommunens IT får användas. Det finns inte någon IT-säkerhetspolicy. En IT-säkerhetspolicy skulle komplettera informationssäkerhetspolicyn med riktlinjer kring IT-säkerhetsrelaterade frågor. Exempelvis kan en IT-säkerhetspolicy ställa krav på hur behörighetshantering, förändringshantering och drift ska skötas. Oskarshamn kommun 4 av 22
Det finns ett utkast på en informationssäkerhetspolicy som är framtagen i samarbete med informationssäkerhetsamordnaren på Regionförbundet i Kalmar län. Vid en övergripande granskning av policyn håller den god kvalitet och skulle vara ett steg i att få styrande dokument på plats. Det finns även en del dokumentation. Exempelvis riktlinjer för dokumenthantering som ger stöd i hur dokument ska informationsklassas. Det finns även en investeringspolicy som ska vara till stöd för IT-investeringar. Nämnder ska årligen bedöma sitt investeringsbehov och IT-avdelningen har ett samordningsansvar för ITinvesteringar. Det händer att IT-avdelningen inte blir involverade i ett tidigt skede utan får vetskap om investeringar för sent. Det finns även en kontinuitetsplan där applikationer kopplade till HSA (risktäckande katalogtjänst med kvalitetssäkrade uppgifter om personer, funktioner och enheter i Sveriges kommuner, landsting och privata vårdgivare) ingår. Dokumentationen som identifierats bygger bland annat på kontroller som utförs. Vi har under granskningen kunnat identifiera att det utförs vissa typer av kontroller som inte är dokumenterade. Exempelvis är många av kontrollerna som utförs i processen för att tilldela behörigheter inte dokumenterade. Det saknas en kontrollmatris. Det sker inte någon utbildning inom informations eller IT-säkerhet inom kommunen. Vid anställningstillfället får den nyanställde en kortare digital utbildning i informationssäkerhet kallad DISA (Datorstöd informationssäkerhetsutbildning för användare) som MSB tillhandahåller. Avtal med tredjepart för system och IT relaterade tjänster hanteras av ITavdelningen och det pågår ett arbete med att få med samtliga avtal i en avtalsdatabas för att på ett kontrollerat sätt kunna följa upp och kontrollera avtaletens livscykel. Vi informerades om att alla avtal inte är på plats men att situationen har blivit avsevärt mycket bättre sen arbetet med databasen påbörjades. Försvårande omständigheter är att avtalen ofta upprättas och ägs av respektive förvaltning. Detta har fått effekt på avtalen då förvaltningarna delvis saknar kompetens att utforma både krav och avtal. Kompetensen att ställa krav saknas främst gällande icke funktionella krav, det vill säga krav som mer relaterar till säkerhet och möjlighet att följa upp avtalet. För alla applikationer finns det utsedda systemägare och systemförvaltare. Dessa två roller kan kombineras men det saknas en tydlig beskrivning över ansvaret att vara ägare eller förvaltare. Vanligtvis finns systemägaren i den förvaltning som använder applikationen. För de gemensamma applikationer som finns arbetar ofta systemägaren på kommunkontoret. Oskarshamn kommun 5 av 22
Behörighetshantering Applikationsförvaltare intervjuades för två av kommunens applikationer, Public 360 och Raindance. För båda applikationerna finns det arbetsrutiner och kontrollmoment som utförs i samband med upplägg, förändring och borttag av användare. Detta bygger inte på formella kontroller och det finns inte alltid en tydlig definition om vem som får beställa eller besluta om vissa behörigheter. För applikationen Raindance är kontrollen för tilldelning något mer formaliserad då den kräver att förvaltningschefen godkänner alla nya användare med underskrift. IT-avdelningen undersöker möjligheterna till ett Identity Management System (IMS) för att automatisera borttag och kvalitetssäkra hela kontots livscykel. IMS finns med som en del av budgeten för år 2016. Periodisk genomgång av användare för applikationerna genomförs regelbundet men det saknas en formell kontroll som beskriver vad och när det ska utföras och vilken risk som lindras genom att kontrollen utförs. Public 360 är en applikation som hanterar ärenden inom kommunen, exempelvis ärenden som ska upp för politiskt beslut. I applikationen finns det olika roller som är utformande efter vad för typ av arbete användaren utför, exempelvis handläggare. Det är behörighetsstyrt så att handläggare endast kan se sina egna ärenden och att chefer kan se ärenden för de personer chefen ansvarar för. Det går att ha fler än en roll samtidigt i applikationen. Det finns inga formella riskanalyser gjorda i vem som kommer åt vilken information eller om det kan finnas en risk med att en person innehar flera roller. De roller som är uppsatta i applikationen bygger på standardroller men är i vissa fall justerade, då det går att lägga till eller ta bort funktioner. Public 360 använder sig av Singel Sign On (SSO). För applikationen Raindance som är kommunens ekonomisystem finns det olika roller. Tillgång till applikationen har ekonomiavdelningen på kommunkontoret som är cirka nio personer och ytterligare en person som jobbar på IT-avdelningen. Annan åtkomst går via Raindanceportalen som är ett webgränssnitt för att ta emot, kontera och attestera fakturor. Rollerna inom ekonomiavdelningen bygger på standardiserade roller i applikationen. Det finns ingen riskanalys gjord för vilka roller som är olämplig att kombinera. Attestflödet är styrt så att en person inte kan attestera och godkänna samma faktura, oavsett roll. Raindance använder sig inte av SSO utan säkerhetsinställningar hanteras i applikationen. Generellt för behörigheter så användas personliga konton. Arbetet med att städa upp bland opersonliga konton under de senaste åren har gett effekt och samtliga användare har numera personliga konton. Det finns vissa generiska konton kvar Oskarshamn kommun 6 av 22
inom IT-avdelningen. De generiska kontona är på väg att tas bort även inom ITavdelningen genom arbetet med Server Domain Isolation. För tilldelning, förändring och borttag av höga behörigheter på operativsystemsoch databasnivå ansvarar idag IT-avdelningen. Det finns inga formella kontroller vilket är en risk. Denna risk lindras något då avdelningen är liten. Det finns leverantörer som har direkt åtkomst till information. IT-avdelningen jobbar med ett projekt för Server Domin Isolation för att underlätt förvaltningen av operativsystemet och göra aktiviter mer spårbara och miljön säkrare genom bland annat personliga konton. Lösenordsinställningar för Active Directory (behörighetsstyrning för åtkomst till nätverk och operativsystem) och applikationen Raindance uppfyller inte de krav som kan anses vara god praxis för den typen av applikationer och funktioner de ger åtkomst till. För varken Public 360, Raindance, databaser eller operativsystemet finns det systematisk uppföljning av loggar. De loggar som övervakas och som larmar är loggar relaterade till prestanda, exempelvis larm för att diskutrymme håller på att ta slut eller att CPU-nivån är hög. Förändringshantering Det görs ingen egen utveckling av applikationerna och dess funktioner. De förändringar som utförs är standardiserad systemutveckling i form av versionsuppgraderingar eller tillägg av nya moduler. För Public 360 har det nyligen implementerats en ny version. Denna förändring hanterades med hjälp av en projektmodell som IT-avdelningen använder för alla större projekt. För Raindance läggs moduler till då ny funktionalitet krävs. För tillfället arbetar kommunen med att möjliggöra e-fakturor i större utsträckning vilket inneburit att en ny modul installeras. Större projekt hanteras vanligtvis genom projektmodell med implementerade kontroller och beslutspunkter, exempelvis för test och godkännande innan produktion. I och med att det inte görs någon egen utveckling så är ofta leverantören med i hela processen tills det att förändringen är implementerad. Vi har under granskningen inspekterat projektplanen för uppgraderingen till ny version av Public 360, vilken innehåller västenliga steg och beslutspunkter. Kommunen har uppskattningsvis sex större förändringar per år. Det finns inte kontroller för att säkerställa Segregation of Duties mellan personer som jobbar med systemutveckling och de som kan produktionssätta förändringar. Många delar av denna process hanteras av leverantörerna av applikationen. För databaser och operativsystem görs inga justeringar utan endast patchning och versionsuppgraderingar. Delvis finns det uppdateringar som sker automatiskt och Oskarshamn kommun 7 av 22
IT-avdelningen arbetar med att utveckla den automatiserade uppdateringen. Det finns en rutin framtagen för hur patchning ska hanteras, vilken anses vara ändamålsenlig. Drift Alla backuper hanteras av IT-avdelningen. Det finns systemstöd kallat Netapp som managerar och övervakar backuper. Den automatiska övervakningen sker i realtid och varnar för bland annat om det är mer än 27 timmar sedan senaste lyckade backup genomfördes eller om CPU belastning är för hög. Larmen från övervakningen skapar inte automatiskt incidenter och larm kan lösa sig av sig självt, om t.ex. belastningen på CPU går upp över kritiska nivåer. Servicetekniker är ansvarig för att följa upp och säkerställa att alla larm blir hanterade och att backuper går enligt plan. Det finns inga krav på att larm ska generera incidenter eller liknande. Det sker inte några regelbundna återläsningstester av backuper. Däremot har det skett återläsningar av information och hela system i skarpt läge, vilket enligt uppgift har fungerat bra. Det finns ett dokument framtaget med rutiner för backup, vilket anses vara ändamålsenligt. Återläsningar av backuper är inte en del av detta dokument. Kravställning av backuper och lagringstider kommer ofta som förslag från ITavdelningen till verksamheten som accepterar förslagen. IT-avdelningen upplever att verksamheten inte alltid reflekterar över den föreslagna lösningen utan accepterar rakt av vad IT-avdelningen säger. Det finns inga tydliga krav eller riktlinjer för hur länge olika typer av information ska sparas. Batchjobb hanteras på samma sätt som backuper. Det finns systemstöd som hanterar och övervakar. Inga incidenter skapas av larmen och uppföljningen av larm är manuell. Incidenter gällande driften hanteras i möjligaste mån av IT-avdelningen. Enligt ITavdelningen saknas det idag ett anpassat systemstöd för att hantera alla ITrelaterade incidenter. Det som används idag är det ärendehanteringssystem som kommunen service center hanterar alla sina ärenden i. IT-avdelningen har undersökt möjligheten att få ett ärendehanteringssystem som stöder ITIL-processerna för att kunna arbeta effektivare med hanteringen av incidenter. IT-avdelningen är medveten om att många incidenter som inte rör driften av plattformarna hamnar direkt vid systemägaren som kontaktar leverantör. Följden av detta är att IT-avdelningen inte har insikt i alla incidenter och inte heller kan arbeta proaktivt med att förhindra dessa. IT-avdelningen har börjat begära incidentrapporter från leverantörerna för att få bättre kontroll. För att få kontroll över allvarliga incidenter har IT-avdelningen tagit fram en mall för rapportering av allvarliga incidenter som anses uppfylla sitt syfte. Det finns en övergripande krishanteringsplan inom kommunen. Det finns inte Disaster recovery plan (DRP) för IT, som ska vara till hjälp för att hantera de IT- Oskarshamn kommun 8 av 22
relaterade bitarna vid någon form av oförutsedd händelse. IT-avdelningen upplever inte att det finns något tydligt uppdrag från politiken att hantera frågan med DRP. Det finns det två datahallar, som till viss del täcker upp för varandra men det är ingen komplett duplicerad lösning. Den ena vid stadshuset och den andra vid räddningstjänsten, som båda är försedda med UPS och avbrottsfri strömförsörjning genom diesel. MSB har nyligen granskat dessa, som en del i ett projekt kallat den kommunala ledningsplatsen och kommit fram till att stadshuset måste ha ny dieselmotor som genererar reservkraft som täcker hela stadshusets behov. Idag är det endast vissa delar som har reservkraft genom diesel vilket bland annat påverkar kylningen till datahallen. MSBs granskning kom även fram till att det måste finns ytterligare en kylmetod för datahallen. Där av pågår ett projekt med en tredje kylmetod som baseras på kylning med hjälp av havsvatten. Den nya reservkraften är beställd. Summering Den övergripande bedömningen är att det görs många bra saker för att säkerställa tillgänglighet, riktighet, konfidentiallitet och spårbarhet i information och ITapplikationer. Det saknas styrande dokumentation såsom Informationssäkerhetspolicy och det saknas även formaliserade kontroller som är möjliga att följa upp, granska och bedöma. Sammanfattningsvis bör kommunen genomföra förbättringar inom följande områden: Informations- och IT-säkerhetspolicy Interna kontroller för kritiska applikationer inom kommunen inom behörighetshantering, förändringshantering och drift. Periodisk granskning av behörigheter bör ytterligare formaliseras och dokumenteras av de lokala enheterna gällande för alla applikationer där det anses nödvändigt. Återläsning av backuper. Gruppkonton för IT-avdelningen bör tas bort. Säkerhetsinställningar bör uppdateras. Vi bedömer att ovanstående inte är i enlighet med god praxis för intern kontroll och kommunen rekommenderas att genomföra föreslagna förbättringar. För samtliga observationer vilka noterats i samband med granskningen, se nedanstående tabell. Oskarshamn kommun 9 av 22
Nedan har observationer för granskningen sammanställts på aggregerad nivå. Observationerna har bedömts efter dess väsentlighet, graderingen illustreras med hjälp av följande definition: Hög En brist med stor påverkan på system, processer eller intern kontroll vilken kan medföra att verksamheten exponeras för betydande förluster eller väsentliga fel i den finansiella rapporteringen. Brister med prioritet hög bör hanterats snarat. Mellan En brist med påverkan på system, processer eller intern kontroll som kan medföra att verksamheten exponeras för förluster eller ett betydande fel i den finansiella rapporteringen. Brister med prioritet mellan bör hanteras inom ett år. Låg Mindre brister eller fel där risken för otillbörlig användning och/eller felaktigheter i bokföringen är lägre, men där det ändå bedöms finnas utrymme för förbättringar. Brister med prioritet låg bör hanteras inom två år. Ref. Observation Prioritet 2015.1 Styrning av informations- och IT-säkerhet Hög 2015.2 Avsaknad av formella rutiner för behörighetshantering Mellan 2015.3 Avsaknad av förvaltningsmodell Mellan 2015.4 Avsaknad av formella rutiner för direkta databasförändringar Mellan 2015.5 Avsaknad av rutiner för backup och avbrottshantering Mellan 2015.6 Säkerhetsinställningar Mellan 2015.7 Avsaknad av formella rutiner för förändringshantering Låg 2015.8 Avsaknad av utbildning Låg För mer information och detaljer gällande respektive observation se sektionen Observation, risk och rekommendation. Oskarshamn kommun 10 av 22
3. Observation, risk och rekommendation 2015.1 Styrning av informations- och IT-säkerhet Observation Det noterades under granskningen att det inte finns ett formellt uppdrag från politiken att arbeta med frågor kring informations- och IT-säkerhet. Följderna av detta är att det inte finns någon person som är utsedd att vara ansvarig för informationssäkerhet. Ansvaret för IT-säkerhet finns hos IT-chefen trots avsaknaden av tydligt formulerat uppdrag. Det finns inga uppdaterade styrdokument för informations- och IT-säkerhet. Detta innebär att det saknas en informationssäkerhetspolicy som är det dokumentet i vilket kommunstyrelsen sätter riktning och mål med informationssäkerhetsabetet. Trots att informationssäkerhetspolicyn saknas noterades det under granskningen att det finns tankar, arbetssätt och till viss del dokumenterade riktlinjer för hur kommunen arbetar med kontroller relaterade till informations- och IT-säkerhet. Exempelvis finns det riktlinjer för dokumenthantering som till viss del stödjer hur informationsklassning ska göras. Men riktlinjen uppfyller inte fullt ut de krav som gäller för informationsklassning i exempelvis ISO 27001. Det finns ingen övergripande dokumentation som identifierar alla kontroller eller kontrollmoment som utförs inom de olika förvaltningarna. Vi har sett ett antal initiativ som är påbörjade för att driva arbetet med informations- och IT-säkerhet framåt. Bland annat noterades det att Regionförbundet i Kalmar län har en gemensam resurs för att jobba med informationssäkerhet. Detta har bland annat resulterat i ett utkast till en informationssäkerhetspolicy och mall för systemsäkerhetsanalys. Det finns även två resurser som delas med Högsby och Hultsfreds kommun som arbetar med verksamhetsutveckling med stöd av IT. Risk Utan ett formellt uppdrag och någon som är formellt ansvarig för informationssäkerhet finns det en risk att ansvaret i frågan blir otydligt och att arbetet faller mellan olika stolar. Risken ökar i och med att det idag inte finns någon policy som berättar vad informationssäkerhet innebär och i förlängningen vad kommunen och dess anställda ska göra för att skydda sina informationstillgångar. Rekommendation Oskarshamns kommun rekommenderas att upprätta ett formellt uppdrag att jobba med informationssäkerhet och att peka ut ansvariga för både informations- och ITsäkerhet. Oskarshamns kommun rekommenderas även att införa en informationssäkerhetspolicy för att styra arbetet med informationssäkerhet. Prioritet: Hög Oskarshamn kommun 11 av 22
2015.2 Avsaknad av formella rutiner för behörighetshantering Observation Vi noterade under granskningen att det i de flesta fall saknas formella rutiner och kontroller för behörighetshantering. Tilldelning, ändring och borttag av behörigheter sker inte okontrollerat men det finns inga dokumenterade kontroller och de kontrollmoment som utförs dokumenteras inte alltid. Exempelvis kan inte vem som helst beställa eller ändra en behörighet och det genomförs regelbundna kontroller att användare fortfarande ska ha åtkomst till applikationen. IT-avdelningen har börjat undersöka systemstöd för att kunna koppla ihop åtkomsten till kommunens nätverk med information från HR-applikationen för att möjliggöra att den generella behörighet till nätverk avslutas med automatik när en person slutar. Detta ligger med i budgeten för år 2016. Vidare noterades att IT-avdelningen har jobbat med att rensa bort ej personliga användarkonton från IT-miljön. Detta har resulterat i att alla normala användare numera har personliga konton. Vi noterade att det finns opersonliga konton kvar på IT-avdelningen. Under granskningen informerades vi även om att det inte sker någon systematisk uppföljning av loggar för höga behörigheter i operativsystem, databaser eller applikationer. Risk Avsaknad av formella rutiner och kontroller för tilldelning, förändring och borttag av behörigheter ökar risken för att obehöriga användare har tillgång till funktioner eller information. Avsaknad av rutiner för uppföljning av loggar ökar risken för felaktiga eller bedrägliga förändringar till känslig data som exempelvis bankkontonummer, leverantörsuppgifter, kritiska konteringar etc. Risken gäller både finansiell information och de operativa processerna. Risken ökar om opersonliga konton används. Rekommendation Kommunen rekommenderas att införa en generell rutin för hur tilldelning, förändring och borttag av behörigheter ska hanteras för kommunens applikationer. Kommunen rekommenderas att utvärdera vilken typ av användare som bör loggas och vilken typ av logg som systematiskt bör granskas. Prioritet: Mellan Oskarshamn kommun 12 av 22
2015.3 Avsaknad av förvaltningsmodell Observation Det finns ingen modell för systemförvaltning implementerad. Från IT-avdelningens sida har efterforskningar gjorts angående Pm3 och om det skulle vara möjligt att inför modellen. Organisationen kring IT är till viss del decentraliserad. Detta visar sig genom att lokala applikationsägare tar egna initiativ och ibland upphandlar och köper in applikationer utan den centrala IT-avdelningen vetskap. För att förhindra detta finns en investeringspolicy som ställer krav på att den centrala IT-avdelningen ska vara inblandad i alla beslut om nya applikationer. Vidare har applikationsägarna som ofta tillhör respektive förvaltning direkt kontakt med leverantörer gällande support och incidenter. Detta gör att IT-avdelningen inte har fullständig kontroll över vad som händer på respektive förvaltning. Driften av IT-miljön är centraliserad och sköts av IT-avdelningen. Vidare noterade vi att IT-avdelningen har jobbat aktivt med att skapa en avtalsdatabas för att möjliggöra fullständig kontroll över samtliga avtal. Även om situationen är bättre finns det fortfarande avtal som IT-avdelningen inte har någon kunskap om eller som är för dåligt utformade. Detta kan vara på grund av att förvaltningarna själva initierat processen och skrivit avtalen. Risk Avsaknaden av en förvaltningsmodell innebär en risk att arbete med förvaltningen kan falla mellan stolar eller att applikationsägaren inte vet vad deras roll innebär. I och med att applikationsägarna ofta tillhör respektive förvaltning ökar risken att ITavdelningen inte har möjlighet att kontrollera applikationerna. Den decentraliserade uppsättning som finns idag ökar risken för att icke strategiska beslut fattas av förvaltningarna och att kommunen inte drar nytta av sina stordriftsfördelar. Risken med att avtalen inte kontrolleras centralt är att det inte följs upp om kommunen får den service man betalar för, eller att det vid upphandling inte ställs tillräckliga krav på leverantören. Rekommendation Kommunen rekommenderas att införa tydliga roller och ansvar gällande förvaltning och inköp av IT-relaterade produkter. Applikationsägareansvar bör vara tydligt specificerat liksom ansvaret för att hantera inköp och avtal. Det bör undersökas om det finns ett värde för kommunen att implementera en modell för förvaltning av applikationerna. En tydlig förvaltningsmodell kan hjälpa till att skapa en mer centraliserad kontroll över IT genom definition av roller och ansvar. Dock är det inte säkert att implementationen av en hel förvaltningsmodell levererar värde utan att det kan vara vissa delar som man bör fokusera på. Prioritet: Mellan Oskarshamn kommun 13 av 22
2015.4 Avsaknad av formella rutiner för direkta databasförändringar Observation Det noterades under granskningen att systemleverantörer i många fall har direkt åtkomst till de databaser som applikationen använder och att applikationsägare vanligtvis tar direkt kontakt med systemleverantörer vid incidenter eller liknande som kan leda till förändringar i databasen. Risk Avsaknad av formella rutiner för hantering av direkta databasförändringar ökar risken för att icke godkända förändringar genomförs och att spårbarheten i förändringarna är låg. Detta påverkar i sin tur hur tillförlitlig information i applikationerna är. Rekommendation Kommunen rekommenderas att införa en rutin för hur direkta förändringar till databasen hanteras. För att kunna kontrollera vem som har initierat förändringen och vem som har utför den. Prioritet: Mellan Oskarshamn kommun 14 av 22
2015.5 Avsaknad av rutiner för backup och avbrottshantering Observation Det noterades att det inte finns några formella kontroller relaterade till uppföljning av larm för backuper. Det finns manuella kontroller som genomförs. Det noterades även under granskningen att det inte finns några formella rutiner för att genomföra återläsningstester av backuper. Det har skett återläsningar av information och hela system i skarpt läge vilket har gått bra. Vidare saknas det också formella riktlinjer om hur länge viss information ska sparas. IT-avdelningen kommunicerar hur backuper och arkivering fungerar med enligt information är respons från verksamheten låg när det kommer till aktiva beslut om hur länge något måste sparas. Risk Det finns risk att kontroller som inte går att följa upp och verifiera inte utförts, vilket är risken kopplade till uppföljningen av larm. Risken är förhållandevis låg. Risken kopplad till avsaknaden av formella rutiner för att genomföra återläsningstester av backup är att informationen inte är tillgänglig när den behövs. Det finns risk att backuper inte går att använda vilket gör att information kan gå förlorad. Avsaknad av formella riktlinjer för hur länge information ska sparas ökar risken att information inte finns tillgänglig när den behövs. Det ökar även risken att kommunen inte följer lagar och regler gällande hur länge information ska sparas. Rekommendation Kommunen rekommenderas att se över om det finns möjlighet att implementera kontroller relaterade till uppföljning av larm kopplade till backuper. Vidare rekommenderas kommunen att införa en rutin för återläsning av backuper för att öka säkerheten i att backuper kan användas på det sätt som är tänkt. Kommunen rekommenderas också att ställa krav på verksamheten och begära uppgifter om hur länge information ska finnas tillgänglig för att säkerställa att nuvarande uppsättning fyller deras krav. Prioritet: Mellan Oskarshamn kommun 15 av 22
2015.6 Säkerhetsinställningar Observation Under granskningen noterades det att Windows Active Directory (AD) används för att ge generell åtkomst till kommunens nätverk och till vissa applikationer genom Singel Sign On (SSO). AD har inte lösenordsoinställningar som anses vara god praxis. Den granskade applikationen Public 360 använder SSO. Applikationen Raindance använder inte SSO utan inställningar för lösenord hanteras i applikationen. Inställningarna för Raindance anses inte uppfylla god praxis. Risk Det finns en ökad risk att obehöriga användare kommer åt information eller funktioner i systemet om de lösenord som skyddar användaren inte är tillräckligt långa eller ställer vissa krav på komplexitet och periodiska byten. Rekommendation Kommunen föreslås införa starkare krav på lösenord för att säkerställa att de lösenord som används uppnår sitt syfte. Prioritet: Mellan Oskarshamn kommun 16 av 22
2015.7 Avsaknad av formella rutiner för förändringshantering Observation Under granskningen noterades att det inte finns några formella rutiner för förändringshantering. Vi noterade att det inte genomförs förändringar (change) till applikationerna utan att det som sker handlar om utveckling (development). Det som genomförs är versionsuppgraderingar och tillägg av moduler etc. Dessa är i många fall kontrollerade genom den projektmodell som IT-avdelningen använder sig av, vilken innehåller beslutspunkter och kontrollmoment för bland annat test och godkännande före produktionssättning. Risk Avsaknad av tydliga krav i rutinen för förändringshantering ökar risken för att felaktiga implementeringar görs i produktionsmiljö som kan påverka applikationernas funktionalitet. Risken lindras av att det endast är större och standardiserade förändringar som implementeras och inte förändringar som är initierade och utvecklade för kommunens räkning. Risken lindras även av att projekten för dessa införanden ofta är stora nog av att hanteras i projektmodellen. Rekommendation Kommunen rekommenderas att införa en process för ändringshantering för att se till att alla förändringar som görs följer projektmodellen och att det finns tydliga beslutspunkter för testning av förändringen och beslut om att införa denna i produktionsmiljö. Prioritet: Låg Oskarshamn kommun 17 av 22
2015. 8 Avsaknad av utbildning Observation Det noterades under granskningen att det inte förkommer någon regelbunden utbildning i informationssäkerhet för anställda inom kommunen. Kommunens nyanställda genomgår en kortare utbildning (ca 20 minuter) vid anställning där syftet är att informera om informationssäkerhet. Denna utbildning är tillgänglig genom MSB (Myndigheten för samhällsskydd och beredskap) och kallas för DISA (Datorstöd informationssäkerhetsutbildning för användare). Risk Avsaknad av regelbunden utbildning i informationssäkerhet gör att medvetenheten om risker förknippande med informationssäkerhet kan hamna på en låg nivå. Utan medvetenheten ökar risken att avancerade tekniska lösningar som skyddar information inte fungerar då anställda medvetet eller omedvetet kringgår dessa. Exempelvis genom att ha lösenord nedskrivet på en lapp. Rekommendation Kommunen rekommenderas att utvärdera möjligheterna till att regelbundet utbilda och informera sina anställda i aktuella frågeställningar och risker kring informationssäkerhet. Prioritet: Låg Oskarshamn kommun 18 av 22
4. Appendix 1 - Genomförande Granskningen har genomförts via intervjuer med IT-chef och Säkerhetschef på Oskarshamns Kommun samt personal gällande förvaltning av applikationerna Public 360 och Raindance. I samband med dessa intervjuer har följande generella kontroller gällande drift och hantering och applikationer granskats: IT-styrning/ ansvarfördelning och förvaltningsrutiner - Det finns ett strukturerat arbete för att säkerställa en god ITsäkerhet? - Det finns erforderliga styrande dokument framtagna som är kommunicerade till intressenterna (t ex verksamheten)? - Utbildning av personal sker i IT-säkerhet? Behörighetshantering - Hantering av behörigheter (tillägg, förändring, borttag) sker strukturerat. - Behörigheter till applikationer granskas periodiskt? - Applikationen skyddas med lösenord som efterlever satta policys och leading practice? - Loggfunktionalitet finns aktiverad i kritiska applikationer? - Regelbundna logguttag och analys av genomförd aktivitet för de centrala enheterna? Förändringshantering - Ändamålsenlig förändringshanteringsrutin finns på plats? Drift - Rutiner för backup och avbrottshantering finns definierade? Följande personer har intervjuats i samband med granskningen: Tomas Karlsson, IT-chef Lars Blomberg, Säkerhetschef Andreas Carlsson, Driftansvarig IT-avdelningen Eva Nilsson, Systemförvaltare Public 360 Elin Johansson, Systemförvaltare Public 360 Kristina Danielsson, Systemförvaltare Raindance Intervjufrågor har baserats på de generella kontroller som identifieras ovan. För vissa områden där det funnits stödjande dokumentation har vi granskat denna. Dokumentation och information från intervjun har varit till underlag för de bedömningar som gjorts relaterade till kontrollen. All typ av information och dokumentation har beaktats, även om den inte anses var av formell karaktär. Samtliga intervjuade personer har fått möjligheten att lämna kommentarer på de områden i rapporeten som de varit involverade i. Oskarshamn kommun 19 av 22
5. Appendix 2 - Dokumentförteckning samt intervjuer Under granskningen tagit del av följande dokument: Dokument Arkivbeskrivning för kommunstyrelsen Arkivreglemente fastställt Backuprutiner HSA_Anslutningsavtal_HPTA_Oskar shamns_kommun_version_3.6.2 Incidentrapport strömavbrott 2014-12-03 Informationssäkerhetspolicy Oskarshamns kommun IT-regler KS 2015-000176-1 Strategi för bredband Oskarshamns kommun.doc 233545_5_0 PatchrutinerServrarochDB Projektplan ver 5 Public 360 SP7 Restorerutiner Riktlinjer för avtalshantering Riktlinjer för bredband Rutiner_OskarshamnsKommun_SE2120 000761-0001_version_1_2 Service o Support Struktur AD Tjänsteavtal SITHS bilaga RAPS KO Oskarshamn Kort information Sammanfattning hur arkiv är organiserat Reglemente för kommunfullmäktige samt kommunens myndigheter Information om hantering av backuper Speglingsdokument till HSA-policyn anpassat till kommunen Exempel på incidentrapport Information om kommunens arbete med informationssäkerhet Regler för användning av IT-system Kommunens strategi för bredband Patchhantering på Kommunen Projektplan Oskarshamn Kommun, för Public 360 Restorerutiner Oskarshamn Kommun Avtalshantering för verksamheter inom Kommunen Riktlinjer för bredbandsutbyggnad Skriftliga rutiner i samband med kort- och certifikatutgivning Flödesschema service och support Karta över AD-strukturen Beskriver hur RA-organisationen är utformad i Kommunen Oskarshamn kommun 20 av 22
6. Appendix 3 - Definitioner Ord Informationssäkerhet IT-säkerhet Pm3 Patch Definition Informationssäkerhet syftar till de rutiner som kommunen implementerar för att säkerställa informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet. Det vill säga att rätt information är tillgänglig för rätt person inom rimlig tid. IT-säkerhet syftar till att skydda kommunens värdefulla tillgångar som information, hårdvara och mjukvara. IT-säkerheten fokuserar främst på att hantera risker förknippade med användningen av IT. Pm3 är en förvaltnings- och portföljstyrningsmodell. Det betyder att pm3 både kan användas till att skapa ordning och reda i det enskilda förvaltningsuppdraget samt för att hantera organisationens totala uppdragsportfölj avseende förvaltning och utveckling. Är en rättning (programfix eller buggfix) som installeras i en applikation. En mindre uppdatering som ofta genomförs regelbundet. Oskarshamn kommun 21 av 22
2015-06-04 Ragnar Malmros Projektledare Pär Sturesson Uppdragsledare Oskarshamn kommun 22 av 22