Cyber security Intrångsgranskning. Danderyds kommun

Relevanta dokument
Håbo kommuns förtroendevalda revisorer

Granskning av intern IT - säkerhet. Juni 2017

Revisionsrapport Granskning av intrångsskydd Sandvikens kommun Niklas Ljung Mattias Gröndahl

Granskning av räddningstjänstens ITverksamhet

Söderhamn kommun. Granskning av intern ITsäkerhet. Juni 2017

Sammanträdesdatum Arbetsutskott (1) 168 Dnr KS/2017:241. Granskning av IT-säkerhet Mjölby 1.0

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Svar på KS 2018/ Revisionsrapport - Granskning av intrångsskydd

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Internt intrångstest

IT-säkerhet Externt och internt intrångstest

Granskning av IT-säkerhet - svar

Informationssäkerhetspolicy för Ystads kommun F 17:01

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Ånge kommun

Intern kontroll och riskbedömningar. Strömsunds kommun

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy inom Stockholms läns landsting

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

6. Revisionsrapport om uppföljande granskning av IT-verksamheten och informationssäkerhet i Västerviks kommun Dnr 2017/67-007

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Bygg- och miljönämndens ansvarsutövande Skellefteå kommun

Ansvarsutövande Gemensam nämnd för drift av personalsystem

Revisionsberättelse för år 2017

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Revisionsplan 2015 Sollefteå kommun

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Ansvarsutövande Överförmyndarnämnden

Svenljunga kommun Januari 2019

1(6) Informationssäkerhetspolicy. Styrdokument

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Ansvarsutövande: Överförmyndarnämnden

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy KS/2018:260

Ansvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun

Strategi Program Plan Policy >>Riktlinjer Regler. Lysekils kommuns. Riktlinjer för intern kontroll

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Informationssäkerhetspolicy för Katrineholms kommun

Ansvarsutövande Barn- & Utbildningsnämn den

POLICY INFORMATIONSSÄKERHET

Intern styrning och kontroll Policy

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Ansvarsutövande: nämnden för arbetsmarknad, vuxenutbildning och integration

Intern kontroll i kommunen och dess företag. Sollefteå kommun

FÖRHINDRA DATORINTRÅNG!

Granskning av kameraövervakning i Göteborgs Stad

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

REGLER FÖR INTERN KONTROLL

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Reglemente för internkontroll

Intern styrning och kontroll

Ansvarsutövande Lantmäterinämnden

Grundläggande granskning av fullmäktiges beredningar 2017

Revisionsrapport Barn i behov av särskilt stöd. Tidaholms kommuns revisorer

Styrning av behörigheter

Ansvarsutövande: Miljönämnden Sundsvalls kommun

Matarengivägsprojektet

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Ansvarsutövande: Stadsbyggnadsnämnden

Informationssäkerhetspolicy för Umeå universitet

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Intern kontroll och riskbedömningar. Sollefteå kommun

Reglemente för intern kontroll. Krokoms kommun

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Granskning intern kontroll

Policy för Essunga kommuns internkontroll

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Bilaga 3 Säkerhet Dnr: /

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Ansvarsutövande: Lantmäterinämnden Sundsvalls kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Revisionsrapport "Förstudie av kommunens ITorganisation"

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Informationssäkerhetspolicy

Reglemente för intern kontroll. Krokoms kommun

Grundläggande granskning av Kostnämnden i Örnsköldsvik Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Revisionen i finansiella samordningsförbund. seminarium

Framtidens äldreomsorg - översiktlig granskning. Strömsunds kommun

Ekonomgruppen i Kungälvs kommun oktober 1999 Antagen av kommunfullmäktige , x.

Mjölby Kommun PROTOKOLLSUTDRAG. 123 Dnr KS/2016:222, KS/2019:73. Uppföljning av granskning avseende IT-säkerhet svar till KF

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Revisorerna. Revisionsstrategi. Antagen

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Intern kontroll och attester

Transkript:

Revisionsrapport Niklas Ljung Ronald Binnerstedt Augusti 2017 Cyber security Intrångsgranskning Danderyds kommun

Sammafattande slutsatser med revisionella bedömningar Revisorerna har i sin riskanalys för 2017 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillfredsställande gällande obehörigt intrång och har därför gett ett uppdrag att granska området. Vår metod var att genom en extern penetrationstest gick vi igenom Danderyds kommuns tekniska miljö och identifierade eventuella brister. Testerna utfördes från utsidan. Vi genomförde även en övergripande genomgång av tillgänglig dokumentation för att få en uppfattning om dokumentationen var uppdaterad och löpande revideras enligt god praxis. Vår revisionsfråga var om kommunstyrelsen har säkerställt att Danderyds kommuns nuvarande tekniska IT-säkerhet är tillräcklig för att reducera risker för obehörigt intrång till en acceptabel nivå? Efter genomförd granskning är vår bedömning att kommunstyrelsen säkerställt att den externa säkerheten hos Danderyds kommun var god när vi utförde testerna. De sårbarheter som upptäcktes var av generell karaktär och vi bedömer även att dessa kan åtgärdas med enkla medel. Vi bedömer dock att kommunstyrelsen behöver säkerställa en inventering av dokumentationen, en uppdatering av samtlig dokumentation och att all dokumentation åtminstone innehåller ägare, versionsnummer och versionshistorik. Vi bedömer vidare att kommunstyrelsen behöver säkerställa att den dokumentation som i dag saknas skapas. 2

Bakgrund och syfte Av kommunallagen och god revisionssed följer att revisorerna årligen ska granska styrelser, nämnder och fasta fullmäktigeberedningar. Kommunstyrelse och facknämnder ska förvalta och genomföra verksamheten i enlighet med fullmäktiges uppdrag, lagar och föreskrifter. För att fullgöra uppdraget måste respektive organ bygga upp system och verktyg för ledning, styrning, uppföljning, kontroll och rapportering samt säkerställa att dessa verktyg tillämpas på avsätt sätt. En bristfällig styrning och kontroll kan riskera att verksamheten inte bedrivs och utvecklas på avsett sätt. Revisorerna har uppmärksammat att risker och hot från det framväxande digitala landskapet, cyberrisker, får ökande uppmärksamhet från både företag och myndigheter. Detta främst orsakat av de senaste årens snabba digitala utveckling med följande exponering mot internet samt ökad användning av smartphones och andra bärbara enheter hos medarbetare, både privat och i yrkeslivet. Ökad aktivitet bland kriminella och andra antagonistiska aktörer bidrar också starkt till den växande hotbilden. Man har från såväl näringsliv som offentlig sektor insett att den hot- och riskbild som växer fram behöver tolkas och göras begriplig så att relevanta och balanserade motåtgärder kan vidtas. I grund och botten handlar det om behovet att skydda sig mot angripare som oavbrutet arbetar för att hitta nya vägar att stjäla, förstöra eller på annat sätt manipulera informationstillgångar eller informationsinfrastruktur. Revisorerna har i sin riskanalys för 2017 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillfredsställande gällande obehörigt intrång och har därför gett ett uppdrag att granska området. 3

2. Syfte och revisionsfråga 4

Syfte och revisionsfråga Har kommunstyrelsen säkerställt att Danderyds kommuns nuvarande tekniska IT-säkerhet är tillräcklig för att reducera risker för obehörigt intrång till en acceptabel nivå? Kontrollfrågor Upptäcks en eventuell attack och hanteras den av IT-personalen på ett rimligt tillvägagångssätt? Har Danderyds kommun externa säkerhetsåtgärder som förhindrar eventuella angripare att enkelt få åtkomst till kritisk information utifrån (via Internet)? 5

Dokumentgenomgång Finns styrande dokument, såsom policy och riktlinjer för IT- och informationssäkerhet? Är befintlig dokumentation uppdaterad och löpande reviderad enligt god praxis? 6

3. Granskningsmetod 7

Extern penetrationstest Genom en extern penetrationstest gick vi igenom Danderyds kommuns tekniska miljö och identifierade eventuella brister. Testerna utfördes från utsidan. Scenario Externa tester via Internet En extern hacker, utan djupare kunskaper om Danderyds kommun, kartlade organisationens närvaro på Internet. Målet var att bryta sig in i intressanta system exponerade mot Internet. 8

Genomförande Informationsinsamling Ett flertal verktyg användes inledningsvis för att kartlägga resurser på Danderyds kommuns nätverk. Samtliga resurser som omfattades av testerna kartlades och identifierades. Dessutom samlades information in från publika källor, så som kommunens hemsida, för att bistå vid de senare intrångsförsöken. Intrångsförsök Intrångsförsök gjordes för att påvisa att de potentiella säkerhetsbristerna identifierade under informationsinsamlingen var reella sårbarheter. Intrångsförsöket genomfördes med minimal inblandning av driftspersonal hos Danderyds kommun. 9

Dokumentgranskning Genom att begära tillgång till IT-relaterade styrdokument fick vi en bild av vad som finns. Vi genomförde en övergripande genomgång av tillgänglig dokumentation för att få en uppfattning om dokumentationen var uppdaterad och löpande revideras enligt god praxis. 10

4. Resultat av penetrationstesten 11

Extern penetrationstest Under granskningen identifierades 8 sårbarheter/ konfigurationsbrister. 5 var av typen medel och 3 av typen information (se bilaga 1). Generellt kan det sägas att de mer allvarliga sårbarheter som har lokaliserats riskerar att utsätta användarna för angrepp, snarare än Danderyds kommun själva. Exempel på detta är kommunens hemsida www.danderyd.se som är sårbar när det gäller cross-site-scripting (XSS) samt clickjacking. 12

Extern penetrationstest (forts.) har även lokaliserat en undersida till www.danderyd.se som producerar ett detaljerat felmeddelande där den fysiska sökvägen på servern avslöjas. Detta kan ge en potentiell angripare information om serverns filstruktur samt uppbyggnad, vilket skulle kunna användas i ett led till att angripa servern. lyckades med framgång utnyttja den lokaliserade cross-sitescripting (XSS) sårbarheten genom att förmå www.danderyd.se att svara på ett harmlöst javascript. Utöver detta lyckades man trots en rad lokaliserade sårbarheter inte utnyttja dessa för att penetrera något system eller tjänst. 13

Extern penetrationstest (forts.) Vi bedömer att den externa säkerheten hos Danderyds kommun var god när vi utförde testerna. De sårbarheter som upptäcktes var av generell karaktär och vi bedömer även att dessa kan åtgärdas med enkla medel. Det är dock av stor vikt att dessa åtgärdas snarast, då de i kombination samt över tid kan utvecklas till kritiska sårbarheter. 14

5. Resultat av dokumentgranskningen 15

Resultat av dokumentgranskningen Efter granskningen av den dokumentation som vi har fått ta del av är vår bedömning att Danderyds kommuns IT-relaterade dokument ej håller en tillräckligt hög nivå. Det saknas, eller så har vi inte fått ta del av, en mängd viktiga styrdokument och dokument som ska användas i samband med en kris eller incident. Exempel på dokument som saknas är: IT-strategi IT-plan Backuppolicy/plan Disaster recovery-plan Incidenthanteringsplan Policy/riktlinje för nätverksövervakning 16

Resultat av dokumentgranskningen (forts.) IT-utvecklingen går i dag fort framåt och system och tjänster ändras ständigt. Det är därför viktigt att dokumentationen löpande revideras. Vår rekommendation är att man bör revidera all sin dokumentation var tolfte månad, men åtminstone var tjugofjärde månad för dokumentation som är relativt statisk. Mycket av Danderyds kommuns dokumentation har inte reviderats på ca tjugo månader, men stora mängder är äldre än så. Till exempel har riktlinjer-for-informationssakerhet och systemforvaltningsmodell inte reviderats på fyra år. Dokumentation är bara till nytta om den är riktig. Revideras dokumentationen regelbundet går det oftast relativt fort, eftersom det då inte rör sig om särskilt omfattande förändringar. Dessutom får Danderyds kommun då dokumentation som är tillförlitlig. 17

Resultat av dokumentgranskningen (forts.) Det är viktigt att man på ett enkelt vis kan se vem som är ägare/ansvarig för ett dokument och när det senast reviderades. Danderyds kommuns IT-dokument saknar: Dokumentägare/ansvarig Versionsnummer Versionshistorik Vi bedömer att kommunstyrelsen behöver säkerställa en inventering av dokumentationen, en uppdatering av samtlig dokumentation och att all dokumentation åtminstone innehåller ägare, versionsnummer och versionshistorik. Vi bedömer vidare att kommunstyrelsen behöver säkerställa att den dokumentation som i dag saknas skapas. Se bilaga 2 för förslag till genomgång av informationshantering och uppdatering av dokumentation. 18

6. Bilaga 1 19

Riskgradering Gradering Hög Medel Låg Information Beskrivning En sårbarhet med hög risk är något man bör åtgärda omedelbart. Dessa sårbarheter är relativt lätta för en angripare att utnyttja och kan förse denne med full access till de berörda systemen. En sårbarhet med medel risk är oftast svårare att utnyttja och ger inte samma tillgång till det drabbade systemet. En sårbarhet med låg risk ger ofta information till en angripare som kan hjälpa denne i kartläggningen inför en attack. Dessa bör åtgärdas i mån av tid, men är inte lika kritiska som övriga brister. En teknisk eller administrativ brist som bör åtgärdas, eller ett förslag på förbättring. 20

7. Bilaga 2 21

Förslag till genomgång av informationshantering och uppdatering av dokumentation 2. Skapa övergripande standard för organisationens informationshantering Standarden beskriver vad olika dokumenttyper ska innehålla, exempelvis: Versionshantering Dokumentansvar Revisonscykel 3. Processbeskrivning för hur dokumentation ska skapas, underhållas och avvecklas Inom respektive ansvarsområde upprättas de rutiner som är nödvändiga för att leva upp till organisationens krav. Exempelvis hur kvalitetsgranskning skall utföras eller hur fastställande av dokument av olika typer utförs. 4. Säkerställ en god struktur Struktur för dokumentation och information måste vara lättöverskådlig och lätt att hitta i även som nyanställd. 5. Inventering av befintlig information Skapa en lista på vilken dokumentation som saknas samt vem som är ansvarig för att ta fram informationen. Gör en prioritering! 1. Identifiera ägaransvar för samtlig information Klargöra vem, dvs, vilken roll som är ansvarig för vilken dokumentation. Exempelvis IT-chef, tekniker och informationssäkerhetsansvarig. 11. Projektavslut Avsluta projekt och överlämning till linjen. 1 2 3 4 12 11 11 10. Fastställande Fastställ den information som kräver detta. 10 9 5 8 6 7 9. Granskningsförfarande Granskning och second opinion på producerad och reviderad dokumentation. 6. Tidplan Sätta en tidplan utifrån prioritering, när dokumentationen bör vara uppdaterad och reviderad. 7. Påbörja uppdatering/ revidering Påbörja det faktiska arbetet med att uppdatera informationen 8. Klassning av dokument Fastställ informationsklass, besluta om revisionscykelns intervall och ev. granskningsförfarande, etc. 22