Revisionsrapport Översiktlig granskning av IT-säkerheten Smedjebackens kommun Oktober 2008 Göran Persson Lingman
Innehållsförteckning 1. Inledning...3 1.1 Bakgrund...3 1.2 Syfte...3 1.3 Metod...4 1.4 Avgränsning...4 2. Hantering av information...4 3. Granskningsresultat...5 3.1 Finns aktuella styrande och stödjande dokument som berör IT-säkerhet och är dessa införda inom nämnderna?...5 3.2 Finns tydligt ansvar för att arbeta aktivt med frågor som berör IT-säkerhet...8 3.3 Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)?...10 3.4 Har kommunen tillfredsställande rutiner för säkerhetskopiering?...11 3.5 Har användaren tillräcklig kunskap om hot och risker för IT-säkerheten?...12 3.6 Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk?...13 3.7 Finns det en avbrottsplan för att säkerställa att funktioner kan återställas inom erforderlig tid?...16 3.8 Finns tillfredsställande skydd mot virus och spionprogram?...16 3.9 Finns kontroll på kommunens datorer...17 4. Sammanfattande bedömning...18 Bilaga 1 Bilaga 2 Bilaga 3 Grafik avseende användarsvar sammanfattning Grafik avseende användarsvar tagit del av dokument Checklista fysiskt skydd 2
1. Inledning 1.1 Bakgrund Med begreppet IT menas informationsteknik som innefattar teknik för elektronisk framställning, lagring, överföring och presentation av information. Tekniken kan bestå av hårdvara, nät, kommunikation och programvaror av olika slag. Med vår definition av IT-säkerhet menas här alla olika åtgärder som används för att skydda och säkerställa åtkomsten av information samt att interna och externa regelverk följs. Betydelsen av IT ökar allt mer inom kommunens olika verksamhetsområden och förändringar sker kontinuerligt. Kommunen hanterar många känsliga uppgifter. Brister i säkerheten kan ge stora konsekvenser för såväl kommunen som för enskilda personer. 1.2 Syfte Granskningen syftar till att översiktligt granska kommunens IT-säkerhet. I granskningen ingår att utföra kontroller inom följande områden Finns aktuella styrande och stödjande dokument som berör IT-säkerhet. Finns tydligt ansvar för att arbeta aktivt med IT-säkerhetsfrågor. Finns ett tillräckligt skydd kring rum som används för datordrift. Finns tillfredställande rutiner kring säkerhetskopiering. Har användarna kännedom kring frågor som berör IT-säkerhet (t ex Internet, lösenordshantering). Finns tillfredställande rutiner för hantering av behörighet till gemensamt nätverk. Finns avbrottsplan. Finns tillräckligt skydd mot virus. Underlag från användarformulär kan komma att delges ansvariga för ytterligare analys och eventuella förbättringsåtgärder. 3
1.3 Metod Vi har intervjuat ansvariga tjänstemän vid IT-enheten och kommunens säkerhetssamordnare gjort en genomgång av framtagna dokument som berör IT-säkerhet ställt frågor till ett urval av användare via ett webbaserat frågeformulär (150 användare besvarade formuläret). Se svar i bilaga 2 utfört en fysisk besiktning av centralt datorrum. 1.4 Avgränsning Granskningen omfattar de i rapporten redovisade kontrollmålen. I granskningen kontrolleras ett flertal områden översiktligt. Granskningsobjektet är i första hand kommunstyrelsen (som har det övergripande ansvaret för IT inom kommunen). Dock berörs till vissa delar kommunens samtliga nämnder inom kommunen då de har ett ansvar för säkerheten inom nämndens område. Granskningen har inte berört säkerheten i separata system (t ex att systemen loggar olika händelser, eller att anställda har rätt behörigheter till systemens olika uppgifter, t ex får ändra, får läsa, eller att systemens egna kontrollfunktioner är korrekta). 2. Hantering av information IT-enheten inom Smedjebackens kommun sköter i huvudsak all drift av kommunens system. Detta innebär att i kommunens centrala serverrum hanteras viktig och känslig information såsom: information inom familjeomsorg, äldreomsorg, skola och barnomsorg löne- och redovisningsinformation internet (hemsidor), intranet och mailsystem. Windows och Office körs i huvudsak på alla datorer inom administrationen. Lagring av egna upprättade dokument ska enligt anvisningar ske på centrala servrar (d v s dokument som användare arbetar med t ex ord och text, kalkyler och presentationer). 4
3. Granskningsresultat Nedan följer de olika kontrollmoment vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen, vår bedömning, kommentarer och eventuellt förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. Vanligen skrivs kommentarer då vi upptäckt brister och ser ett förbättringsbehov. Nedan visas frågeställningarna i granskningen. En sammanfattande bedömning ges i avsnitt 4. 3.1 Finns aktuella styrande och stödjande dokument som berör ITsäkerhet och är dessa införda inom nämnderna? Iakttagelser: Vi har tagit del av följande dokument Översikt som beskriver struktur och samband mellan kommunens styrande och stödjande dokument kring IT. Se bilaga 3. Ekonomiska spelregler som är daterat 2003-03-21 och beslutat av kommunfullmäktige och kommunstyrelsen. Dokumentet beskriver IT-enhetens roll i samband med förvaltningarnas införskaffande av IT-system. Enligt ansvarigas bedömning är dokumentet fortfarande aktuellt därför att en effektiv och säker förvaltning med hjälp av ITsystem kräver samordning och överblick. IT-infrastrukturprogram från 2002 som är fastställt av kommunfullmäktige. Dokumentet är även kommunens IT-policy (kap. 4 i dokumentet). Här fastslås bl.a. kommunens krav på att IT-säkerheten utformas enligt KBM1:s riktlinjer (tidigare ÖCB2). Enligt ansvarigas bedömning är dokumentet delvis aktuellt. Ansvariga ser ett behov av att revidera dokumentet samt att mer aktivt arbeta med att implementera dokumentet inom nämnderna t ex via utbildning i IT-säkerhet på olika nivåer. Budget ansvar och mål från 2002 som är antaget av kommunfullmäktige. Ansvariga bedömer att dokumentet är aktuellt. 1 Krisberedskapsmyndigheten 2 Överstyrelsen för civil beredskap. Finns inte mer men många uppgifter finns inom Krisberedskapsmyndigheten. 5
IT-säkerhetsplan från 2002 som är antaget av kommunfullmäktige. Dokumentet beskriver ansvar och roller. Dokumentet är aktuellt. Dock ser ansvariga ett stort behov av att ytterligare införa dokumentet inom nämnderna. IT-strategi från 2003 som är antaget av kommunfullmäktige. Dokumentet beskriver hur genomförandet av IT-policy ska organiseras. IT-enheten är uppbyggd enligt beskriven organisationsplan som finns i dokumentet. Förutom ovan angivna dokument anges att standarddokument som upprättats av krisberedskapsmyndigheten (Basnivå för IT-säkerhet) gäller inom kommunen. Dokumenten gäller indirekt via beslut i de andra dokumenten. Standarddokumenten kring BITS har aldrig kommunicerats inom kommunen. Från IT-enheten utrycks ett behov av att anpassa BITS till en mer tydlig koppling till Smedjebackens verksamhet för att på så sätt skapa förståelse och motivera efterlevnad av styrdokumenten. Ett arbete med säkerhetsanalyser kring viktiga system har påbörjats. Målet har varit att arbetet ska resultera i säkerhetsplaner för systemen. Arbetet har pågått under lång tid men dock aldrig slutförts. Som ett led i säkerhetsmedvetande har en genomgång av KBM:s BITS plus koncept (Länsstyrelsens utbildningsinsatser med inriktning mot IT-säkerhet och krisberedskap) genomförts inom kommunen. Flera ansvariga chefer inom kommunen deltog dock inte i dessa aktiviteter. Från IT-enheten och från IT-säkerhetsansvarig uttrycks att det finns ett stort behov av att bättre införa och tydliggöra gällande dokument. T ex anges att systemägarskapet är otydligt inom kommunen (t ex ansvar, uppgifter). På fråga till användare om det är känt var de återfinner styrande och stödjande dokument som berör kommunens IT-säkerhet svarar 62 användare att de tagit del av dokument. På samma fråga svarar 98 användare att de inte tagit del av dokument som berör IT-säkerhet eller vet inte om de tagit del av dokument. Många användare uttrycker också en osäkerhet kring var olika dokument återfinns. Se grafik i bilaga 2. Ett förbättringsarbete är påbörjat inom kommunen där Kommunstyrelsen kommer att inleda Informationssäkerhet 2009 den 11 dec 2008 med en s.k. kickoff. Evenemanget leds av KBM och riktar sig till kommunledningen. Kommunchefen har kallat respektive förvaltningschef med stab till mötet. Den här gemensamma inledningen syftar till att förankra en samsyn på det kommande informationssäkerhetsarbetet. 6
Kommentarer och rekommendationer: Vi konstaterar att det inom kommunen finns ett flertal dokument som berör ITsäkerhetsområdet. Vissa är dock i behov av revidering. Många användare uttrycker en osäkerhet kring kommunens IT-relaterade dokument. Detta innebär att det finns risker att dokumenten inte fyller sitt syfte (vad finns, vad gäller, var hittar man dokumenten). Här är det viktigt att ansvariga ser över hur olika dokument ska kommuniceras till ansvariga och användare samt att tillämpningen säkerställs av styrelse och nämnder. En utgångspunkt är att rätt information måste nå rätt målgrupp (användare, chefer, systemägare m fl). M a o kan vi konstatera att det finns ett behov av att ytterligare implementera styrande dokument inom nämnderna. Det är viktigt att det inom styrelser och nämnder genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen enligt de intentioner som finns. Det förbättringsarbete som kommer att påbörjas under december 2008 är givetvis positivt. 7
3.2 Finns tydligt ansvar för att arbeta aktivt med frågor som berör ITsäkerhet. Iakttagelser: Ansvaret för IT-säkerhetsfrågorna ligger inom respektive nämnd, men kommunstyrelsen har det övergripande ansvaret för IT-säkerhetsfrågorna. Det finns en utsedd ITsäkerhetssamordnare inom kommunen som är underställd kommunstyrelsen. ITsäkerhetssamordnaren har bl a till uppgift att stödja kommunens förvaltningar i arbetet med att nå IT-säkerhetsplanens mål. IT-säkerhetsansvarig arbetar idag inte aktivt med uppföljning och förebyggande arbete som berör IT-säkerhet. Enligt uppgifter sker ingen systematisk uppföljning från nämnderna kring IT-säkerhet/informationssäkerhet. Systemägare finns inte formellt utsedda däremot finns systemförvaltare i form av personal inom förvaltningsverksamheten. Ansvar tydliggörs i upprättade dokument men dokumenten är enligt uppgifter inte tillräckligt implementerade. Genomförande av systemsäkerhetsanalyser har påbörjats inom kommunens nämnder men arbetet är inte avslutat. Ansvariga vid IT-avdelningen anger att en önskvärd förbättringsaktivitet inom kommunen skulle vara att utbilda olika ansvariga i deras roller. En helpdesk finns dit användare kan vända sig för hjälp och meddela olika typer av fel. Från IT-enheten ser man ett behov att ytterligare implementera helpdesken inom hela kommunen då vissa rapporteringsprocesser inte alltid efterlevs, t ex rapportering av när anställda slutar. Enkäten till användare Även om svaren på frågor avseende ansvar för IT-säkerhet varierar så har 31 användare svarat Delvis eller Inte alls på frågan Det är tydligt vem/vilka som ansvarar för olika IT-säkerhetsfrågor inom kommunen/och eller min förvaltning. Graf visas i bilaga 2. 8
Kommentarer och rekommendationer: Vår bedömning är att ansvaret inte är tillräckligt tydligtgjort inom kommunen. T ex har uppföljningsarbetet varit eftersatt och gällande dokument har inte implementerats inom nämnderna. Här är det viktigt att de olika förbättringsaktiviteter som planerats genomförs. Vi bedömer det som positivt att kommunen har en utsedd IT-säkerhetssamordnare som är frikopplad från IT-verksamheten i kommunen. Det skapar bättre förutsättningar för en mer oberoende uppföljning/kontroll av IT-säkerheten. Vår bild är dock att rollen som säkerhetsansvarig inte är tillräckligt tydliggjord (t ex samspelet mellan ITsäkerhetsansvarig, IT-chef och kommunledning. Hur arbetet ska bedrivas avseende information och uppföljning mot verksamheterna. Vad kommunledningen vill ha svar på och på vilket sätt rapporteringen ska ske). Vi vill även här peka på vikten av att det inom verksamheterna (styrelse och nämnder) genomförs systemsäkerhetsanalyser. Säkerhetsanalyser förbättrar säkerheten samtidigt som ansvaret mellan verksamheten och IT-enheten tydliggörs. Det är viktigt att varje system har en aktiv förvaltning för att man ska kunna säkerställa kvalitén i informationen, säkerheten och utvecklingen av systemet. Det är viktigt att det inom nämnderna säkerställs att kommunens helpdeskfunktion används enligt de intentioner som finns från IT-enheten. 9
3.3 Finns ett tillräckligt skydd kring rum som används för datordrift (förhindra störningar, avbrott, obehörigt tillträde och stöld)? Iakttagelser: Utrymmet är nytt för ändamålet. Förbättringar har skett efter riskanalys från KBM. Därefter har KBM inspekterat utrymmet. Vi har genomfört ett flertal kontroller och samtliga har varit positiva. Kortfattande sammanfattande iakttagelser är att utrymmet är nytt och helt avsett för ändamålet. Motståndskraftiga väggar, dörrar m m finns. Innan åtkomst till utrymmet med servrar finns särskilt rum för passage. Olika typer av larm och skydd finns (se mer i bilaga 3). Lås med loggning finns. Leverantörer skriver på upprättad sekretessförbindelse. Behörig personal ledsagar servicepersonal som t ex hantverkare. Automatstartande dieselgenerator som kraftförsörjer hela kommunhuset och serverhallen finns. Backup sker i en miljö som är fysiskt skiljd från IT-driften. Backup tas i ett för ändamålet anpassat serverrum på annan plats helt skiljt från huset. Se mer kring utförda kontroller i bilaga 3. Leverantörer som hanterar system med sekretessklassad information ska enligt rutinerna skriva under sekretessförbindelse. Normalt sett har leverantörer aldrig tillträde till serverrum. Då leverantörer arbetar i serverutrymmen övervakas dessa enligt uppgift rutinmässigt. Dokumenterade rutiner saknas dock. Kommentarer och rekommendationer: Vår bedömning är att utrymmen som används som serverrum är tillfredsställande. 10
3.4 Har kommunen tillfredsställande rutiner för säkerhetskopiering? Iakttagelser: Backuphanteringen kring olika system och databaser varierar. Vanligen skapas kopior i servrar nattetid och därefter tas kopior i bandrobot. Mailsystem speglas i två olika hårddiskar i samma server. I bandrobot cirkulerar 60 band. Enligt ansvarigas bedömning finns möjlighet att gå tillbaka till 1 år gamla kopior. Kvalitén på banden kontrolleras automatiskt av bandrobot. En översyn och ett förbättringsarbete kring backuphanteringen har påbörjats. Återställningstester som säkerställer att systemen går att återstarta efter en diskkrasch sker ej. Krav från verksamheterna kring backuphantering saknas (t ex via systemsäkerhetsanalyser). Krav avseende backuper t ex hur länge backuper ska sparas och tid för att återskapa finns ej från verksamheterna. Dokument som beskriver vilken information som hanteras i de olika systemen saknas, t ex vilka risker det finns kring informationen, vad som skulle hända om informationen kom i orätta händer (sekretess), förvanskades (riktighet) eller förlorades (tillgänglighet). Backuper tas regelbundet varje dag. Bandrobot står i säkert utrymme i annan huskropp. Backuper kan enligt uppgifter sannolikt återläsas från 1 år tillbaka. Från IT-enheten uttrycks ett behov av att stärka rutiner och kontrollen kring hur återläsning av information som av någon anledning behöver återställas ska ske. Detta är eftersatt t ex saknas resurser och krav från nämnderna. Diskussioner kring alternativa driftsplatser sker inom IT-enheten. Kommentarer och rekommendationer: Vår bedömning är att rutiner avseende backuphantering inte är tillfredställande Ökade och tydliga krav från verksamheten (nämnderna) bör utarbetas. Rutiner kring återläsning av backuper bör ses över. Vi föreslår att det sker en översyn avseende hur länge backuper förvaras (t ex av arkivskäl). De diskussioner som förs kring alternativ driftsmiljö är positiva. För att minimera störningar för de mest kritiska systemen är det viktigt att det görs en översyn enligt de diskussioner som förs. 11
3.5 Har användaren tillräcklig kunskap om hot och risker för ITsäkerheten? Iakttagelser: Som ett led i säkerhetsmedvetande har en genomgång av KBM:s BITS plus koncept (Länsstyrelsens utbildningsinsatser med inriktning mot IT-säkerhet och krisberedskap) genomförts inom kommunen. Många ansvariga chefer inom kommunen deltog dock inte i dessa aktiviteter. Vissa andra sporadiska utbildningar kring IT-säkerhet har skett dock ej på något systematiskt sätt. Utbildningsinsatser är planerade att genomföras under året. Uppföljningar kring användares kunskap kring säkerhetsrelaterade frågor sker enligt uppgifter inte på något systematisk sätt inom nämnderna. Detta gäller även vid nyanställning. Ansvariga ser ett behov av att förbättra kommunens intranät för kommunikation till användare. Ansvariga ser även ett behov av att ytterligare implementera ett bättre säkerhetsmedvetande till ansvariga på olika nivåer (chefer, användare). En helpdesk finns dit användare kan vända sig för hjälp och meddela olika typer av störningar. Underlag som skapas i helpdesksystemet används för vissa typer av proaktivt arbete dock används underlag från helpdesk inte i någon form av förebyggande utbildning. Utbildningsinsatser är dock planerade. Tabellen visar ett urval av frågor som berör användares kunskap kring IT-säkerhet. Vår huvudsakliga kommentar till tabellen nedan är att trots att den övervägande delen av de svarande har avgett positiva svar utrycker många användare en osäkerhet. Se även avsnitt 1.1 kring styrande dokument och riktlinjer där många användare är osäkra på vad som gäller och var dokumenten återfinns. FRÅGA 2. ag känner till vad som gäller* avseende hantering av lösenord till nätverket och det/de system som jag vanligtvis arbetar med. för att erhålla nytt lösenord. 1. Inte alls 2. Delvis 3. i Huvudsak 4. Helt 0. Vet ej/ingen uppfattning Totalt 4 20 64 61 1 150 3. ag har tillräcklig kunskap över hur jag hanterar mitt/mina användarid och lösenord. 4 ag vet hur jag ska agera vid störningar/incidenter. ( viruslarm,tappad lösenord, datorproblem etc) 10 50 88 2 150 6 26 62 53 3 150 12
7.ag känner till vad som gäller som kommunanställd då jag är ute på internet. 11.ag har tillräckliga kunskaper för att på ett säkert och effektivt sätt kunna utföra de arbetsuppgifter som jag utför med hjälp av min dator och det system som jag i huvudsak använder 22 15 73 31 9 150 2 15 77 52 4 150 Kommentarer och rekommendationer: Vi konstaterar att det finns ett behov av säkerhetsrelaterad utbildning varför det är viktigt att det inom nämnderna utarbetas utbildningsaktiviteter för att förbättra användarens kompetens inom IT/informationssäkerhetsområdet. I anslutning till detta är det viktigt att se över och revidera vissa ej aktuella IT-relaterade dokument. Här kan vi konstatera att det har planerats att genomföra olika typer av utbildningsinsatser vilket är positivt. Här är det givetvis viktigt att styrelse och nämnder medverkar till att all personal deltar i aktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det sker ett systematiskt uppföljningsarbete av användares kunskap kring säkerheten. 3.6 Finns tillfredsställande rutiner för hantering av behörighet och lösen till gemensamt nätverk? Iakttagelser: Översiktlig hantering tilldelning av behörighet vid nyanställning Ansvarig chef fyller i framtagen blankett och undertecknar beställningen samt lämnar den till IT-enhetens helpdesk. Om systemtillträde för t.ex verksamhetssystem behövs så beställes det separat och skall undertecknas av systemförvaltaren. Systemförvaltaren lägger i sin tur order till IT-enheten. Uppföljning från IT-enheten till känd kontaktperson hos beställaren sker oftast. Översiktlig hantering tilldelning då användare behöver nytt lösenord På tjänstemannasidan identifieras personen via telefonsamtal. Rutinen har utförligare diskuterats med IT-enheten och vissa förbättringsområden har identifierats. 13
Övriga iakttagelser Lösenordens längd och uppbyggnad är reglerat. Byte av lösenord krävs genom fastställda automatiska rutiner. Loggning sker kring försök till åtkomst. Enligt uppgifter följs loggar upp rutinmässigt. Utbildning sker ej kring vad som är viktigt att tänka på kring behörighetsfrågor. Dokumenterade rutiner finns framtagna över hur personal som slutar ska rapporteras. Rutin (t ex blankett) finns då anställda slutar och behörigheter ska upphöra. Dock upplever IT-enheten att rutiner inte efterlevs på ett tillräckligt sätt. Inventeringar kring att behörigheter överensstämmer med verkligenheten sker av ITenheten årligen. Från IT-enheten uttrycks ett behov av att förbättra systemet för uppföljning och översikt beträffande vilka användare och behörigheter som finns. Detta skulle då även underlätta för chefer inom nämnderna att kontrollera vilka behörigheter anställda har. Datorer har skärmsläckare som låser dator vid viss tid av inaktivitet. Många användare har i vårt formulär angett att de ser risker med att obehöriga kan ta del av känslig information vid utskrift. Se bilaga 3. Under hösten 2008 har dock kommunen investerat i en ny skrivarlösning som innebär att användare verifierar sig vid skrivaren då de vill ha sina papper. Lösning kommer även att vara ekonomisk och bra för miljön då mängden papper kommer att reduceras. IT-personal bär ej id-handlingar och det finns inga anvisningar till verksamheten att ITpersonal måste identifiera sig. Hemarbete förekommer. En säkerhetslösning finns för säker hantering. Lösningen har diskuterats med ansvariga. Status kring tillförlitligheten vid kommunens brandvägg har diskuterats med ansvarig vid IT-enheten. Oberoende intrångstester sker ej. Vid intervjuer har framkommit att det inom socialförvaltningen finns grupper som delar på identiteter och lösenord. Kring leverantörer som har kontakter direkt mot IT-enheten finns rutiner kring hanteringen. Då leverantörer arbetar i olika system vid sidan om IT-enheten saknas generella rutiner t ex sekretessförbindelse. 14
Kommentarer och rekommendationer: Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). IT-personal bör bära synlig id-handling och i anslutning till detta är det viktigt att det säkerställs att anställda inom kommunen är medvetna om att IT-personal alltid måste legitimera sig innan tillträde ges till datorer. Vi vill även nämna att den nya lösningen med kontrollerad utskrift är positiv och den bör eliminera de risker som användare uttryckt då de skriver ut dokument. Behörighetstilldelningen då nya lösenord tilldelas användare bör ses över. Framför allt gäller detta då användare förlorat sina lösenord. Det är viktigt att det sker en översyn och förbättring kring användare som delar på samma identitet och lösenord. Detta ska i möjligaste mån inte förekomma. Granskningsområdet ovan kring behörighet är till delar kunskapsrelaterat. Kommentarer avseende utbildningsbehov är intaget i avsnitt 3.5 Har användaren tillräcklig kunskap om hot och risker för IT-säkerheten? Hanteringen av leverantörer vid IT-enheten synes positiv dock föreslår vi att det sker en översyn avseende hanteringen av leverantörer generellt inom kommunen. 15
3.7 Finns det en avbrottsplan för att säkerställa att funktioner kan återställas inom erforderlig tid? Iakttagelser Det finns idag ingen dokumenterad plan om det sker en allvarlig händelse (katastrof). Från IT-enheten anges att nämnder med kritiska system förlitar sig på att den centrala driften har gott skydd och dubblerade lösningar. Det förs diskussioner inom kommunen kring alternativ driftsmiljö. Kommentarer och rekommendationer: Analyser för att identifiera följderna av eventuella katastrofer bör genomföras. En avbrottsplan bör upprättas. Avbrottsplanen bör innehålla en beskrivning av vad som krävs för att starta driften på nytt, prioriteringar samt ansvaret för olika aktiviteter. De diskussioner som förs kring alternativ driftsmiljö är positiva. För att minimera störningar för de mest kritiska systemen är det viktigt att det görs en översyn enligt de planer som finns. 3.8 Finns tillfredsställande skydd mot virus och spionprogram? Iakttagelser: Som skydd mot virus och annan skadlig kod har kommunen ett genomtänkt system som utarbetats tillsammans med leverantör. Skyddet har diskuterats med ansvariga. Kommentarer och rekommendationer: Vi bedömer kommunens skydd mot virus som tillfredsställande. 16
3.9 Finns kontroll på kommunens datorer Iakttagelser: IT-enheten ansvarar för att datorer inköps till kommunen enligt fastställda rutiner. Datorer märks och företecknas i register. I register anges var datorn placeras. Om en dator flyttas inom en förvaltning så ska enligt rutin detta meddelas IT-enheten. Inventeringar avseende datorer sker årsvis. Vid dessa tillfällen uppmärksammar IT-enheten att det förekommer att datorer flyttats utan att meddelande erhållits. Kommentarer och rekommendationer: Vi bedömer att kommunens har tillfredställande rutiner kring hantering av datorer. Det är dock viktigt att förvaltningar rapporterar förändringar till IT-enheten enligt de rutiner som finns. 17
4. Sammanfattande bedömning Vi vill sammanfatta granskningen med att många av de kontroller som vi genomfört varit tillfredsställande. Dock har vi i granskningen funnit flera förbättringsområden. Områden som vi uppmärksammat och där det finns ett förbättringsbehov sammanfattas i nedanstående punkter: Många användare uttrycker en osäkerhet kring kommunens IT-relaterade dokument. Detta innebär att det finns risker att dokumenten inte fyller sitt syfte (vad finns, vad gäller, var hittar man dokumenten). Här är det viktigt att ansvariga ser över hur olika dokument ska kommuniceras till ansvariga och användare samt att tillämpningen säkerställs av styrelse och nämnder. En utgångspunkt är att rätt information måste nå rätt målgrupp (användare, chefer, systemägare m fl). Vi konstaterar att det finns ett behov att ytterligare implementera styrande dokument inom nämnderna. Det är viktigt att det inom styrelser och nämnder genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen enligt de intentioner som finns. Vår bedömning är att ansvaret inte är tillräckligt tydliggjort inom kommunen. T ex har uppföljningsarbetet varit eftersatt och gällande dokument har inte implementerats inom nämnderna. Här är det viktigt att de olika förbättringsaktiviteter som planerats genomförs. Vår bedömning är att rutiner avseende backuphantering inte är tillräckligt tillfredställande. Ökade och tydliga krav från verksamheten (nämnderna) bör utarbetas. Rutiner kring återläsning av backuper bör ses över. Vi föreslår att det sker en översyn avseende hur länge backuper förvaras (t ex av arkivskäl). Vi konstaterar att det finns ett behov av säkerhetsrelaterad utbildning varför det är viktigt att det inom nämnderna utarbetas utbildningsaktiviteter för att förbättra användarens kompetens inom IT/informationssäkerhetsområdet. I anslutning till detta är det viktigt att se över och revidera vissa ej aktuella IT-relaterade dokument. Här kan vi konstatera att det har planerats att genomföra olika typer av utbildningsinsatser vilket är positivt. Här är det givetvis viktigt att styrelse och nämnder medverkar till att all personal deltar i aktiviteter som bedöms vara generella och obligatoriska. Det är viktigt att det sker ett systematiskt uppföljningsarbete av användares kunskap kring säkerheten. I detta sammanhang är det även viktigt att nämna att det inom nämnderna säkerställs att kommunens helpdeskfunktion används enligt de intentioner som finns från IT-enheten. Detta ger kommunen en samlad bild av olika typer av händelser, t ex viktiga säkerhetsrelaterade händelser och problem. Detta underlättar att 18
allvariga problem snabbt och samtidigt ska kunna åtgärdas och arbetet med förebyggande arbete. Det är viktigt att styrelse och nämnder säkerställer och tydliggör vikten av att ansvariga chefer tillämpar den rutin som finns då anställda slutar. För att säkerställa tillförlitligheten avseende intrångsskydd mot systemen bedömer vi det viktigt att det genomförs oberoende tester mot systemens databaser (intrångstester från insidan och utsidan av kommunens brandvägg). IT-personal bör bära synlig id-handling och i anslutning till detta är det viktigt att det säkerställs att anställda inom kommunen är medvetna om att IT-personal alltid måste legitimera sig innan tillträde ges till datorer. Behörighetstilldelningen då nya lösenord tilldelas användare bör ses över. Framför allt gäller detta då användare förlorat sina lösenord. Det är viktigt att det sker en översyn och förbättring kring användare som delar på samma identitet och lösenord. Detta ska i möjligaste mån inte förekomma. Hanteringen av leverantörer vid IT-enheten synes positiv dock föreslår vi att det sker en översyn avseende hanteringen av leverantörer generellt inom kommunen. Mot bakgrund av ovanstående punkter bedömer vi det viktigt att kommunstyrelsen och nämnderna förbättrar IT-säkerheten inom kommunen. Ett förslag till första steg är att ledningen, verksamhetsansvariga, säkerhetsansvarig, IT-ansvariga och andra aktörer noga diskuterar nuläget inom kommunen. Exempel på punkter som är viktiga att ha tydlig samsyn och målsättning kring är följande: Vilka målsättningar finns med de olika förbättringsprojekten och vilka risker och konsekvenser finns innan projekten/arbetet är slutfört. Områden att förbättra men som ej är påbörjade samt anledningen till att inte förbättringar påbörjats. På vilket sätt bedrivs förbättringsarbetet och kan arbetet eventuellt bedrivas effektivare avseende identifiering av problem och hinder. Vilka förbättringseffekter kommer arbetet att innebära. Vem ansvarar för att åtgärda olika frågor och när ska det vara klart. Vilka resurser krävs. 19
Bilaga 1 (20)
Bilaga 2 Nedan visas en grafisk sammanställning kring vissa svar från användare. Svar där användare angett ett påstående bara till delvis eller inte alls är uppfyllt visas med negativa värden (röda). Där användare delgivit oss positiva svar (helt eller i huvudsak) visas detta med grön färg. Tagit del av dokument Fråga 1. ag har tagit del av dokumentet som berör IT-säkerhet (informationssäkerhet) inom kommunen och/eller min förvaltning. (21)
Känt var man återfinner dokument Fråga 16. Det är väl känt för mig var jag återfinner styrande och stödjande dokument som berör kommunens IT-säkerhet Alla Förvaltningschef Chef med underställd personal ( med budgetansvar) Annan typ av chefsbefattning Annan typ av befattning -36-25 55 15 0 2 3-4 0 6 5-6 -1 4 1-30 -20 43 6-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% (22)
Finner stödjande dokument 16. Det är väl känt för mig var jag återfinner styrande och stödjande dokument som berör kommunens IT-säkerhet Alla Förvaltningschef Chef med underställd personal ( med budgetansvar) Annan typ av chefsbefattning Annan typ av befattning -36-25 55 15 0 2 3-4 0 6 5-6 -1 4 1-30 -20 43 6-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% (23)
Risker vid utskrift 14. Då jag skriver ut känsliga dokument på skrivare så medför detta inga risker att obehöriga tar del av informationen (dvs skrivare står i en skyddad miljö eller kod används vid utskrift) Alla Förvaltningschef Chef med underställd personal ( med budgetansvar) Annan typ av chefsbefattning Annan typ av befattning -22-28 54 34-1 0 4 0-5 0 6 6-3 -1 7 2-19 -21 37 26-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% (24)
Bilaga 3 Fysiskt skydd Smedjebacken k1 k2 Är datorrummet konstruerat för ändamålet? Är väggarna och dörrar motståndskraftiga? k3 mot brand k4 mot inbrott k5 mot yttre värme k6 Risk för yttre påverkan saknas. T ex tung biltrafik k7 k8 k9 k10 k11 k12 Skydd finns i händelse av brand, ex argonit eller vattensystem? Brandsläckare fiins i anslutning till datorhall? Fönster saknas eller är skyddade mot insyn,inbrott Kylaggregat som säkerställer jämn temperatur finns? Datorer står upphöjda från golv i händelse av vattenläcka? (och/eller brand) Reservström till utrustning finns D N KBM besiktigat UNI 2008 Ingen annan vattenrisk k13 UPS finns Fungerar tikk res.. Reservström till utrustning Lång tid disel hela huset finns k14 k15 k16 Dörr till datorrum hålls alltid låst? Endast behöriga har tillträde till datorrum? Rutin finns för behörighet till datorrum Tilldelning från IT-chef enligt rutin Blankett kort t ex för obehöriga (25)
k17 Loggning av tillträde sker? k18 Uppföljning av loggar sker N Rapporter från tekniska kontoret avseende in och utpassering önskas k19 Datorrum innehåller ej onödigt material som kan orsaka brand eller damm? k20 k21 k22 Är kablage upphängt på ett genomtänkt och systematiskt sätt? Risk att obehöriga cirkulerar/passerar datorrummet är liten Finns sekretessförbindelse med leverantör? (rutin?) Skriftlig finns k23 Larm finns för fukt SOS tekniker och ITenhet k24 Damm Rök,brand,hetta Elkraft Onormal driftstemp maskiner Kyla Yttre tempraturer påverkar ej datorrum k25 Larm finns för inbrott k26 Larm finns för temperatur k27 Larm finns för brand k28 Finns avtal avseende alternativ driftsmiljö N Planering pågår-- -100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Delvis Inte uppfylld Helt (26)