Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Relevanta dokument
IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Internt intrångstest

Styrning av behörigheter

IT-säkerhet Externt och internt intrångstest

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Hantering av IT-risker

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. IT-revision Solna Stad ecompanion

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Lomma Kommun

Kommunrevisionen KS 2016/00531

Tillgänglighet och bemötande inom individ- och familjeomsorg

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-säkerhet Externt och internt intrångstest

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Granskning av intern kontroll i kommunens huvudboksprocess

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Håbo kommuns förtroendevalda revisorer

Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Revisionsrapport

Revisionsrapport Intern kontroll avseende representation och resor hos samtliga nämnder

Uppföljningsrapport IT-revision 2013

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Granskning av IT-säkerhet - svar

Granskning av utbetalningar

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Revisionsrapport. Löpande granskning av den interna kontrollen. vid Kostnämnden. Landstinget Västmanland. Inger Hansén Viveca Karlsson

Förstudie: Övergripande granskning av ITdriften

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Granskning av räddningstjänstens ITverksamhet

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Lekmannarevision 2017 Systematiskt arbetsmiljöarbete

Övergripande granskning IT-driften

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Tekniska nämnden. Hylte Kommun.

Granskning av hur väl stödet av ekonomitjänster fungerar

Mjölby kommuns revisorer. Förebyggande arbete i syfte att undvika mutor, korruption och oegentligheter

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

I Central förvaltning Administrativ enhet

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Leksands kommun. Revisionsrapport. Sammanfattning Kommunstyrelsens ansvar för ledning, styrning och uppföljning av kommunkoncernens.

Granskning av intern kontroll

IT- och informationssäkerhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Implementering av barnkonventionen i Linköpings kommun

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Uppföljningsrapport IT-generella kontroller 2015

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

Granskning av kommunens hantering av styrdokument

Granskning av upphandlingsverksamheten. Sandvikens kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Ärende- och dokumenthantering

Granskning av behörigheter till journalsystemet

Uppföljning av tidigare granskningar

Intern kontroll och riskbedömningar. Sollefteå kommun

INFORMATIONSSÄKERHETSGRANSKNING AV PARAPLYSYSTEMETS APPLIKATION PARASOL

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Uppföljning avseende granskning kring Avtalstrohet

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Granskning av upphandlingsförfarandet. inom utvalda nämnder och förvaltningar

Revisionsrapport Granskning av stadens internkontrollplan samt nyckelkontroller inom ekonomiadministration och IT

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.

Granskning av intern kontroll. Lekmannarevisorerna i Borgholm Energi AB

Granskning av intern kontroll i lönehanteringen

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Kommunrevisionens Uppföljning av Granskning av ITsäkerheten

Granskning av utskick av digitala handlingar. Trelleborgs kommun

Intern kontroll och riskbedömningar. Strömsunds kommun

Granskning av Intern kontroll

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Projekt inom utvecklingsenheten

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhetspolicy för Ystads kommun F 17:01

Policy för säkerhetsarbetet i. Södertälje kommun

Revisionsrapport Övergripande granskning av intern kontroll Tandvårdsnämnden 2015

Informationssäkerhetspolicy inom Stockholms läns landsting

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Uppföljning av tidigare granskning av kommunens fordon

Jämtlands Gymnasieförbund

Externt finansierade projekt

Revisionsrapport. Leksands kommun

Kommunstyrelsens beredskap och arbete med etik,korruption och oegentligheter

Revisionsrapport Ledning och styrning av externa projekt. Härjedalens kommun

Revisionsrapport Granskning av arvoden till förtroendevalda. Härnösand Kommun

Uppföljande granskning: Sjukfrånvaro och rehabilitering. Strömsunds kommun

Region Skåne Granskning av IT-kontroller

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Transkript:

Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun

Innehållsförteckning 1. Inledning 1 1.1. Bakgrund 1 1.2. Revisionsfråga och kontrollfrågor 1 1.3. Metod och avgränsning 1 2. Observationer och påverkan 2 2.1. Följs kommunens policys/riktlinjer för dataintrångshantering? 2 2.2. Har kommunen ett ändamålsenligt arbetssätt rörande riskhantering inom ITområdet? 2 2.3. Är roller och ansvar i processen för risk- / dataintrångshantering inom IT-området tydligt definierade? 3 2.4. Inkluderar processen effektiv kommunikation mot samtliga intressenter? 3 2.5. Adresserar kommunens riskhanteringsprocess de mest väsentliga riskerna vid dataintrång? 3 3. Revisionell bedömning och rekommendationer 5 Februari 2013 Klippans kommuns revisorer

1. Inledning 1.1. Bakgrund Hanteringen av risker inom IT-området får allt större betydelse då verksamheten blir allt mer beroende av stöd från IT-system. En effektiv och framgångsrik riskhantering bygger på ett helhetstänkande. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot till exempel obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. 1.2. Revisionsfråga och kontrollfrågor Granskningen ska besvara följande revisionsfråga: Är den interna säkerheten ändamålsenlig när det gäller övervakning, uppföljning och beredskap av obehörigt dataintrång? Granskningen inriktas mot följande kontrollfrågor: Följs kommunens policys/riktlinjer för dataintrångshantering? Har kommunen ett ändamålsenligt arbetssätt rörande riskhantering inom ITområdet? Är roller och ansvar i processen för risk-/dataintrångshantering inom IT-området tydligt definierade? Inkluderar processen effektiv kommunikation mot samtliga intressenter? Adresserar kommunens riskhanteringsprocess de mest väsentliga riskerna vid dataintrång? 1.3. Metod och avgränsning Inom ramen för uppdraget har PwC genomfört intervjuer med utvalda personer på Klippans kommun och genomfört analys av dokumentation samt en verifikation av kontohantering och säkerhetsinställningar på server-och operativsystemnivå. Rapporten har övergripande fokuserat på IT generellt och journalsystemet mer specifikt. Intervjuer har genomförts med följande personer: IT-chef Medicinsk ansvarig sjuksköterska Rapporten har varit föremål för sakgranskning av samtliga intervjuade. Klippans kommuns revisorer 1 av 6

2. Observationer och påverkan 2.1. Följs kommunens policys/riktlinjer för dataintrångshantering? Det finns inom kommunen riktlinjer och policys för IT-säkerhet. Det har dock framkommit i intervjuer att användare kan avvika från riktlinjerna. Exempelvis klickar användare ibland på osäkra länkar i mejl. Dock är IT-avdelningens uppfattning att användare ofta frågar IT när de är osäkra. Det finns en informell process för hur kommunen hanterar incidenter av intrång eller avbrott i sin IT-miljö. De incidenter som inte löses på en gång, dokumenteras i en loggbok som analyseras och som slutligen leder till en rapport med rekommendationer för framtida lösningar. Vår kontoanalys visar att behörighetsnivåerna på IT-personalens användarkonton är förhöjda, vilket tyder på att IT själva inte följer riktlinjerna för hantering av konton. Vidare visar analysen att kommunen inte följer internationell standard för lösenordslängd, det vill säga man har 6 stycken tecken istället för rekommenderade 8. Om avvikande beteenden inte rapporteras till IT kan det innebära att kommunen exponeras för onödiga risker som i slutändan kan leda till ett intrång. En formell process är enklare att följa upp och mäta. Om många användare har förhöjda behörigheter, i kombination med svaga lösenord, underlättar det för en obehörig användare att få åtkomst till känslig information inom kommunen. 2.2. Har kommunen ett ändamålsenligt arbetssätt rörande riskhantering inom ITområdet? Vid incidenter av intrång eller avbrott, som inte löses på en gång, skrivs en loggbok och en rapport med rekommendationer för framtida lösningar. Rapporten innehåller bakgrund, händelseförlopp och en summering. Det saknas en formell process gällande kontroller och uppföljning av obehörig åtkomst till kommunens journalsystem, vilket strider mot patientdatalagen då Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.... Det finns idag ett förslag på en formell process för kontroll och uppföljning på remiss inom kommunen. Utan en formell process försvåras uppföljning och mätning samt att individberoendet kan öka. Utan en formell process för uppföljning av åtkomst i journalsystemet innebär det att kommunen kan bryta mot patientdatalagen. Klippans kommuns revisorer 2 av 6

2.3. Är roller och ansvar i processen för risk- / dataintrångshantering inom IT-området tydligt definierade? Ansvaret för IT-säkerhet och integritetsskydd ligger på IT-säkerhetsansvariga och är definierat i kommunens säkerhetspolicy. Säkerhetspolicyn blev godkänd 2001 och har inte uppdaterats sedan dess. Det har vid intervjuer framkommit att ett individberoende existerar inom kommunen, kring ansvar för IT-säkerheten. Vidare saknas vissa formella processer inom området, som till exempel en eskaleringsprocess vid incidenter. Det har även framkommit att det inte genomförs några regelbundna intrångstester eller sårbarhetsanalyser på kommunens IT-miljö, inklusive journalsystemet. Ej uppdaterade styrande dokument kan leda till mindre effektiva aktiviteter och otydligt ansvar. Det kan i slutändan leda till felaktiga rutiner och processer. Formella processer kan följas upp, mätas och jämföras för att kunna utvärdera processen. Utan regelbundna sårbarhetsanalyser eller intrångstester ökar risken för intrång i kommunens IT-miljö. 2.4. Inkluderar processen effektiv kommunikation mot samtliga intressenter? Vid intervjuer har det framkommit att det saknas en formaliserad eskaleringsprocess vid incidenter. Vid en incident informeras idag IT-chefen och övriga berörda parter, vilket tyder på att den informella processen fungerar. Vid intervjuer har det framkommit att den informella processen vid genomgång av obehörig åtkomst av en journal i journalsystemet är effektiv. Den sker på individnivå och enligt uppgift har endast berörda parter information om ärendet, vilket är positivt ur sekretessoch kommunikationsaspekt. Utan en formaliserad process kan intressenter som berörs missa att få informationen alternativt att informationen kommer sent, vilket kan ha en negativ påverkan på hur snabbt organisationen kan vidta åtgärder. Formella processer kan följas upp, mätas och jämföras för att kunna utvärdera processen. 2.5. Adresserar kommunens riskhanteringsprocess de mest väsentliga riskerna vid dataintrång? Det finns totalt 23 906 konton inom Klippans kommun, varav 21 662 är aktiva. Utav dessa konton finns ett stort antal användare, cirka 18 000, som inte loggat på inom 90 dagar, vilket motsvarar 76 procent. Av dessa är det dessutom cirka 15 000 konton som aldrig loggat på i systemet, vilket motsvarar över 60 procent. Vi har även noterat att det finns ett stort antal konton, 21 539 stycken, som är definierade att inte behöva byta lösenord överhuvudtaget. Klippans kommuns revisorer 3 av 6

Det finns totalt 31 konton med administrativa rättigheter, 22 stycken är domänadministratörer och 3 stycken Enterprise Admin. Dessa konton har de högsta behörigheterna i hela IT-systemet. I journalsystemet genomför kommunen cirka två gånger per år en genomgång av konton för att ta bort inaktiva konton. Denna process är informell och beroende på individer. Att inte ha kontroll på sin kontohantering samt att användare inte behöver byta lösenord innebär en förhöjd risk för intrångsförsök och förenklar avsevärt vid eventuella intrångsförsök. Formella processer kan följas upp, mätas och jämföras för att kunna utvärdera processen och kan nyttjas för extern och intern hjälp utan att kommunen tappar lika många upplärningstimmar. Klippans kommuns revisorer 4 av 6

3. Revisionell bedömning och rekommendationer Granskningens revisionsfråga var: Är den interna säkerheten ändamålsenlig när det gäller övervakning, uppföljning och beredskap av obehörigt dataintrång? Efter att ha granskat kontrollfrågorna bedömer vi att den interna säkerheten inte fullt ut är ändamålsenlig och att det finns en förbättringspotential inom samtliga områden. Vår granskning har visat att vissa av de informella processerna idag fungerar för kommunen, men att det kan ändras vid en större incident. Nedan följer våra bedömningar och rekommendationer utifrån granskningens kontrollfrågor. Följs kommunens policys/riktlinjer för dataintrångshantering? IT-avdelningen bör regelbundet uppdatera användare med information om gällande regler och riktlinjer för IT-användning. IT-avdelningen bör ta fram en formaliserad incidentprocess för intrång. IT-avdelningen bör analysera om alla administrativa och domänadministrativa konton är nödvändiga och framförallt om de innehar rätt behörighetsnivå. Har kommunen ett ändamålsenligt arbetssätt rörande riskhantering inom IT-området? IT-avdelningen bör etablera en formell process för intrångsincidenter. Socialnämnden bör skyndsamt implementera processen för kontroller och uppföljning i journalsystemet när den är godkänd från remissinstanserna. Är roller och ansvar i processen för risk-/dataintrångshantering inom IT-området tydligt definierade? IT-avdelningen bör se över och uppdatera styrande dokument inom ITsäkerhetsområdet och formalisera processerna för dataintrångshantering. IT-avdelningen bör genomföra regelbundna sårbarhetsanalyser för att på så sätt säkerställa att en hög IT-säkerhetsnivå finns inom kommunen. Sårbarhetsanalyser bör genomföras både på interna och externa IT-miljöer och på de applikationer som hanterar känslig information, som till exempel journalsystemet. Inkluderar processen effektiv kommunikation mot samtliga intressenter? Processerna för IT och för socialnämnden gällande kommunikation bör formaliseras för att ha tydlighet i åtgärdsstegen och vara behjälplig vid eventuella insatser, både interna och externa, i syfte att förtydliga ansvar och intressenter som berörs. Klippans kommuns revisorer 5 av 6

Adresserar kommunens riskhanteringsprocess de mest väsentliga riskerna vid dataintrång? IT-avdelningen bör uppdatera behörighetsprocessen inom kommunen och genomföra regelbundna uppföljning av densamma. IT-avdelningen bör analysera om säkerhets- inställningarna för kommunens konton följer kommunens policy samt utvärdera om policyn ska ändras för att följa god praxis gällande säkerhetsinställningar för konton. Utifrån granskningsresultatet och vår riskbedömning rekommenderar vi att Kommunstyrelsen börjar med följande tre åtgärder: Uppdatera behörighetsprocessen inom kommunen och genomföra regelbundna uppföljningar av densamma. Skyndsamt implementera den formella processen för kontroll och uppföljning av obehörig åtkomst för journalsystemet, som är på remiss vid denna rapportframtagning. Analysera om säkerhetsinställningarna för kommunens konton följer kommunens policy samt utvärdera om policyn ska ändras för att följa god praxis gällande säkerhetsinställningar för konton. En uppföljning till våren 2014 för att kontrollera att ovanstående har genomförts. 2013-06-13 Björn Johrén, Projektledare Alf Wahlgren, Uppdragsledare Klippans kommuns revisorer 6 av 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss