EXAMENSARBETE
NILS-OSKAR SPETT
Säkerhetsanalys av
Kiruna kommuns IT-verksamhet
HÖGSKOLEINGENJÖRSPROGRAMMET Datateknik
Luleå tekniska universitet
Institutionen för Systemteknik • Avdelningen för Datorkommunikation
Sammanfattning
Denna rapport sammanfattar ett examensarbete som utförts hos Kiruna kommun.
Kommunen arbetar med framtagning av en ny IT-säkerhetspolicy och ville då göra en säkerhetsanalys av sin verksamhet. Denna säkerhetsanalys skulle göras utifrån
Krisberedskapsmyndighetens standard Basnivå för IT-säkerhet (BITS).
Informationsinsamlingen har skett via intervjuer av personal på IT-avdelningen samt
platsinspektioner på skolor och serverhall. Dessutom har en enkät skickats ut till alla anställda inom kommunen.
Kiruna kommun klarar överlag de krav som ställdes men behöver åtgärda nedanstående.
IT-säkerhetspolicyn samt Systemsäkerhetsplanerna måste beslutas och eventuellt revideras.
IT-säkerhetsinstruktioner behöver upprättas och användas.
Rutiner för kontoutdelning och behörighet måste beslutas.
Mer utbildning behövs gällande korrekt dator-, e-post- och lösenordshantering.
Den fysiska åtkomsten av utrustning på vissa skolor måste åtgärdas.
Abstract
This report is a summary of a thesis made at Kiruna municipality.
The municipality works with the production of a new IT-security policy and wanted to do a security analysis of its activity. This security analysis was done on the basis of
Krisberedskapsmyndighetens Basnivå för IT-säkerhet (BITS). The information gathering was conducted by interviews of personnel at the IT department and on site inspections at schools and server hall. Moreover a questionnaire was sent out to all the employees within the municipality.
Kiruna municipality passes the majority of the requirements set but needs to correct the following items.
The IT-security policy and the System-security plans must be decided and possibly revised.
IT-security instructions need to be established and used.
The routines for account management and authorization must be decided.
More education is needed concerning correct computer-, e-mail - and password handling.
The physical access of equipment at certain schools must be addressed.
Förord
Denna rapport är en del av ett examensarbete vid Luleå Tekniska Universitet under
våren/hösten -05. Målet med detta examensarbete var att utföra en säkerhetsanalys av Kiruna Kommuns IT-verksamhet. Detta skulle ske med Krisberedskapsmyndighetens Basnivå för IT- säkerhet (BITS)[1] som grund. De resultat som säkerhetsanalysen kommer fram till kan sedan användas för att utforma en IT-säkerhetspolicy och IT-instruktioner för kommunen.
Kommunen hade redan påbörjat en IT-säkerhetspolicy innan jag började med mitt arbete och lämnade under mitt arbetes gång ett förslag för beslut. Mina resultat kommer sedan att jämföras med den IT-säkerhetspolicyn.
Jag vill tacka handledaren Lars Fernström samt alla anställda vid Kiruna Kommuns IT-
avdelning som har bidragit med värdefull hjälp och expertis. Dessutom vill jag även tacka alla
anställda i Kiruna Kommun som har svarat på den enkät som skickades ut.
Innehållsförteckning
1. Inledning ...- 9 -
1.1 Bakgrund ...- 9 -
1.2 Syfte ...- 10 -
1.3 Mål ...- 10 -
1.3 Begränsningar...- 10 -
2 Teori...- 11 -
2.1 Allmänt om IT-säkerhet ...- 11 -
2.2 Kiruna kommuns IT-miljö ...- 12 -
3 Metod...- 13 -
3.1 Informationsinsamling ...- 13 -
4. Resultat av arbetet ...- 15 -
4.1 Styrande dokument och Utbildning...- 15 -
4.2 Administration och användning ...- 19 -
4.3 Drift och förvaltning...- 27 -
5. Diskussion och Slutsats ...- 39 -
5.4 Diskussion och reflektion...- 39 -
5.2 Vidareutveckling ...- 40 -
5.3 Slutsats ...- 40 -
6. Referenser ...- 43 -
Bilaga 1 – E-post-inbjudan till enkät...- 45 -
Bilaga 2 - Enkätundersökning...- 46 -
1. Inledning
1.1 Bakgrund
Säkerhet på arbetsplatsen har alltid varit en viktig faktor som företag, kommuner och andra förvaltningar tvingats att se över. Säkerhet spänner över ett brett område och kan innefatta allt från hjälmar i gruvor till anti-virus skydd i datorer. Datorer används numera på så gott som alla arbetsplatser. Detta innebär att säkerheten måste utvidgas till att innefatta även
elektronisk säkerhet.
I december 1996 föreslog Överstyrelsen för Civil Beredskap att alla datasystem skulle klassas med en gemensam grundnivå för säkerhet. Detta förslag vidareutvecklades och blev ett tillägg i beredskapsförordningen som kungjordes den 26 juni 1997. Tilläget är § 22a och lyder
En beredskapsmyndighet som i sin verksamhet under höjd beredskap är i behov av elektronisk informationsbehandling ansvarar för att dator- och kommunikationssystemet uppfyller
sådana säkerhetskrav att myndighetens uppgifter kan utföras på ett tillfredställande sätt.
(SFS 1997:640)
För att man skulle tolka de råd och lagar som stod i Beredskapsförordningen paragraf 22a utvecklade Överstyrelsen för Civil Beredskap en rapport, Föreskrifter och Allmänna råd enligt 22: a paragrafen (FA22)[2] i beredskapsförordningen. Detta dokument utkom första gången i mars månad 1998 och behandlar de pappersmässiga och fysiska krav som ställs för att uppnå denna grundnivå i säkerhet. Man utgår från de säkerhetsplaner och dokumentationer som behövs vid administrationen för att senare i rapporten gå in på de fysiska krav som ställs.
Där ingår bland annat låsta dörrar, elförsörjning och säkerhetskopiering. För Sveriges beredskapsmyndigheter är dessa regler obligatoriska, men dessa regler är endast
rekommendationer för kommuner, landsting samt kris- och krigsviktiga företag (K-företag).
I december 2003 gav Krisberedskapsmyndigheten ut en egen rapport med namnet Basnivå för IT-säkerhet (BITS)[1]. Det som skiljer BITS från FA22 är att BITS ger en enklare förklaring och konkretare exempel på de regler som måste uppfyllas för att nå den basnivå som nämns i paragraf 22a i beredskapsförordningen. BITS vägleder myndigheter och företag från det att man utvecklar de säkerhetsplaner och dokument som krävs, till administration, drift och fysiskt skydd. För att göra genomförandet enklare medföljer mallar och dataprogram där myndigheterna/företagen kan mata in sina uppgifter och på så vis få hjälp med de planer och dokumentationer som behöver göras.
I och med de nya rekommendationerna ville Kiruna Kommun genomföra en säkerhetsanalys
av sitt system för att se om det uppfyller de rekommendationer som ställs i BITS. Det är
således denna publikation som jag har utgått ifrån som grund för mitt examensarbete.
1.2 Syfte
Syftet med detta examensarbete var att undersöka om Kiruna kommuns IT-verksamhet uppfyller de krav som ställs i BITS.
1.3 Mål
Målet med detta projekt var att med BITS som grund gå igenom Kiruna kommuns IT-
säkerhet. Denna genomgång skulle kartlägga vilka områden som är godkända enligt BITS och vilka brister eller fel som behöver åtgärdas.
1.3 Begränsningar
Under planeringen tillsammans med Kiruna kommun framkom det att vi inte hade tillräckligt med tid för att gå igenom hela BITS-häftet. Därför bestämde vi oss för att göra en mer grov bedömning och inrikta oss på vissa specifika delar. Det som intresserade kommunen mest var de hot och brister som skulle kunna komma inifrån. Med andra ord de egna användarnas kunskaper och eventuella brister. Kommunen ansåg att en ökning inom detta skulle ge mest för den totala säkerheten. Därför beslutade vi oss för att arbeta med nedanstående tre delar.
Styrande dokument och Utbildning
Från denna del valde vi att inrikta oss på de styrande dokument och den utbildning som måste finnas för att kunna uppnå de krav som ställs i BITS basnivå. Dessa
dokument berör hela organisationen, såväl användare som administration, ledning och drift.
Administration och användning
Här valde vi att inrikta oss på vad som är korrekt administrering och hantering av administratörskonton och vanliga användare, till exempel vem som har behörighet att göra vad på systemet och hur denna behörighet skyddas. En stor del av skyddet innefattar korrekt lösenordshantering. Med andra ord är det den interna säkerheten som behandlas här. Det vill säga de eventuella brister som en användare eller administratör har.
Drift och förvaltning
I den avslutande delen var målet att behandla de risker som finns mot själva systemet
och hur eventuella incidenter ska behandlas. Först gäller det angrepp mot mjukvaran
som virus eller e-post attacker och hur dessa bekämpas för att senare gå över till den
fysiska delen av systemet. Den fysiska delen innefattar skydd för infrastrukturen och
då speciellt de servrar som används. Bland dessa fysiska skydd finns skalskydd, det
vill säga hur själva lokalerna är skyddade med till exempel låsning och brandskydd,
strömförsörjning och reservkraft för driften. Det innefattar även säkerhetskopiering i
fall något havererar samt en brandvägg som skyddar det interna nätet från angrepp
utifrån.
2 Teori
2.1 Allmänt om IT-säkerhet
IT-säkerhet definieras enligt BITS som:
De delar av begreppet informationssäkerhet som avser säkerheten i den tekniska hanteringen av information som bearbetas, lagras och kommuniceras elektroniskt samt administrationen kring detta. (BITS)
Generellt finns det tre grundaspekter inom IT-säkerhet.
Sekretess: Att obehöriga ej kommer åt sekretesskyddad information.
Riktighet: Att informationen skyddas från oavsiktlig eller obehörig förändring.
Tillgänglighet: Att informationen/tjänsten finns tillgänglig för behörig part.
Man pratar även om följande punkt
Spårbarhet/Oavvislighet: Att en del eller alla aktiviteter som utförs på ett system skall kunna spåras till en användare. Detta medför att berörd part omöjligen kan förneka om information har skickats eller tagits emot.
Vad innebär då dessa principer i verkligenheten?
Väl genomtänkta lösenord som i första hand bidrar till att bibehålla sekretessen men även riktigheten för den aktuella informationen.
Uppdaterade program och operativsystem bidrar till högre säkerhet inom de tre aspekterna genom att blockera och täppa igen kända säkerhetshål och brister. Då säkerhetshålen blir blockerade kan utomstående inte komma åt din information lika lätt vilket leder till ökad sekretess och riktighet. Även tillgängligheten bevaras då det inte är lika lätt att utestänga dig från den information du behöver.
Ett fungerande och uppdaterat anti-virus skydd ökar säkerheten på samma sätt som i punkten ovan.
En rätt konfigurerad brandvägg kan öka säkerheten med avseende på de tre
aspekterna. Sekretess och riktighet uppnås genom att brandväggen skyddar din dator och din information från attacker utifrån. Även tillgänglighet kan till viss del uppnås med en brandvägg då du med rätt inställningar kan välja vilken trafik eller information som kan skickas mellan din dator/nätverk och omvärlden.
Ovanstående förslag är en början vid säkerhetsarbete på företag, förvaltningar eller enskilda användare. Dessa förslag ger inte ett heltäckande skydd, för även om ett system har
högklassig utrustning spelar det ingen roll om användaren inte kan hantera den på rätt sätt.
Ett vanligt system har olika sorters incidenter under sin livstid. Det kan vara allt från en användare som glömt sitt lösenord till en illasinnad person som har upptäckt ett säkerhetshål.
Det sker en konstant utveckling av mjukvara och hårdvara vilket kan medföra nya
säkerhetshål eller virusattacker. Dessa säkerhetsrisker måste åtgärdas för fortsatt bra säkerhet
och drift. Den enda 100 % säkra datorn är en avstängd dator.
2.2 Kiruna kommuns IT-miljö
Kiruna kommun har i dagsläget hand om IT-miljön på kommunens skolor, förvaltningar och dess bolag.
2.2.1 Struktur
Kommunens nät är uppbyggt med fiber inom centrala Kiruna samt till vissa knutpunkter ute i de olika byarna. Ute på de olika arbetsplatserna är det vanlig TP-kabel tillsammans med switchar men det finns även kvar hubbar på vissa platser. De kvarvarande hubbarna är planerade att bytas ut. Nätet är uppdelat i olika domäner beroende på om det är skolor, förvaltningar eller kommunala bolag. All trafik går via några centrala servrar i en serverhall.
Någon enstaka by har fortfarande kvar sin lokala server för snabbare åtkomst.
2.2.2 Datorer
Skolorna har cirka 1100 arbetsstationer och förvaltningen och bolagen har cirka 500. Totala antalet datorer är alltså cirka 1600. Det finns cirka 85 servrar som har hand om dessa
arbetsstationer.
Majoriteten av datorerna är vanliga arbetsstationer men det finns även så kallade tunna
klienter där alla uträkningar och processer körs på de centrala servrarna. Det finns även planer på att byta ut flertalet datorer till tunna klienter för att förenklar administrationen och driften.
Operativsystemet för arbetsstationerna är Windows XP och med några få undantag Windows 2000.
2.2.3 Användare
Alla användare som finns inom kommunens IT-system är antingen anställda eller elever på kommunens skolor. Antalet användare är cirka 1600 anställda och 2000 elever det vill säga totalt cirka 3600 användare. En väldigt stor del av användarna använder datorn dagligen i sitt arbete. Detta kan vi se på figuren nedan som visar svaren på fråga 1 från den enkät som skickades ut. Denna enkät skickades endast ut till de anställda inom kommunen. I avsnitt 3.1.3 behandlas enkätens syfte och utformning.
Fig 1. Resultat från enkätundersökning fråga 1.
3 Metod
3.1 Informationsinsamling
Detta examensarbete har använts sig av flera olika metoder för informationsinsamling och dessa behandlas inom detta kapitel.
3.1.1 Litteratur
Den litteratur som har använts inom detta examensarbete är BITS [1]. De dataprogram och dokumentmallar som följer med BITS har inte använts. Dessa ansågs inte tillföra något konstruktivt på grund av dåligt formulerade frågor.
3.1.2 Intervjuer
För att få information om hur kommunens IT-miljö är uppbyggd och få svar på en del av de krav som ställs i BITS har ett antal intervjuer skett med ansvarig personal på kommunens IT- avdelning. Dessutom har en del frågor ställts till de ansvariga på de skolor som undersökts.
3.1.3 Enkät
Enkäten (bilaga 2) är utformad för att kunna kartlägga de interna hot som systemet kan utsättas för. Frågorna är konstruerade för att kunna mäta användarnas säkerhetskunskap och hur datorerna används.
Enkätens grundutformning gjordes av mig och efter genomgång med IT-avdelningen gjordes några små förändringar. Enkäten består av 11 frågor som kan delas in i fyra delar. De två första frågorna behandlar användning av datorn och eventuell utbildning som användaren anser sig fått. Frågorna 3-7 är den största delen och behandlar lösenordshantering och struktur. Därefter behandlas tillträde till mjukvara och fysisk utrustning i frågorna 8 och 9.
Den sista delen, frågorna 10 och 11 innefattar e-post hantering och oönskad e-post.
För att få den bästa pålitligheten och riktigheten valde vi bort elevanvändarna och skickade endast ut enkäten till de anställda på kommunen. Eleverna valdes bort då vi ansåg att majoriteten av eleverna inte skulle svara seriöst på enkäten. Efter diskussion med IT- avdelningen valde vi att skicka ut ett e-postmeddelande (bilaga 1) med en länk till enkäten.
Valet att använda ett e-postmeddelande och länk var att det passade bäst in på den tid vi hade att tillgå. För enkäten och sammanställningen av svaren användes programmet QuestBack som utför undersökningar av olika slag.
Nackdelen med en enkät kan vara att man ej får tillräckligt många användare att svara.
Intervjuer hade gett ett bättre resultat men tagit alltför lång tid.
3.1.4 Platsinspektion
För att kunna undersöka det fysiska skydd som krävs enligt BITS kom jag och IT-avdelningen överens om att platsinspektioner var nödvändiga. Eftersom kommunen är stor till ytan valdes vissa platser bort då detta skulle innebära onödigt mycket restid. Då större delen av
kommunens användare tillhör de olika skolorna valde vi att platsinspektera de centrala skolorna. En platsinspektion på skolorna gick till på ett sådant sätt att jag först gick runt och kontrollerade om det fanns några synliga fel för att sedan kontakta systemansvarige på den aktuella skolan och be om en rundtur. De frågor som ställdes var hur strukturen såg ut på skolan. Det vill säga var alla switchar eller hubbar inlåsta och välmarkerade för att underlätta felsökning och underhåll.
Det skedde även en platsinspektion på den centrala serverhallen. De frågor som ställdes där
gällde inte bara låsning utan även larm, brandsäkerhet, elförsörjning och klimat.
4. Resultat av arbetet
De resultat som redovisas nedan har generellt delats upp i tre delar.
Styrande dokument och Utbildning
Administration och användning
Drift och förvaltning
Varje del består av två stycken. Det första stycket sammanfattar och redogör för vad som står i BITS och det andra stycket visar en jämförelse med den faktiska situationen inom
kommunen.
4.1 Styrande dokument och Utbildning
För varje organisation, företag eller arbetsplats ska det finnas styrande dokument som
innehåller de regler och förordningar som gäller för systemet. Då jag i detta arbete utgår ifrån BITS standard finns det tre övergripande dokument. Dessa dokument är:
IT-säkerhetspolicy
Systemsäkerhetsplan
IT-säkerhetsinstruktioner
4.1.1 IT-säkerhetspolicy
Detta är det mest övergripande dokumentet som organisationen utgår ifrån när det gäller IT- säkerheten. En policy ska klart och tydligt redogöra för organisationens mål, framtidsplaner, riktlinjer och engagemang gällande IT-säkerhet. Då flertalet av dessa mål eller framtidsplaner kan vara svåra att genomföra under en kortare tid väljer man oftast att skriva för ett längre tidsperspektiv. Om man till exempel har som mål att bli ledande inom säkerhet för
kommunerna under de kommande tre åren är det dumt att skriva en policy som bara sträcker sig över två år.
BASNIVÅ
IT-säkerhetspolicyn ska:
Fastställas av organisationens ledning och dokumenteras.
Fastställa fördelningen av ansvaret för IT-säkerheten inom organisationen och beskriva de olika rollerna.
Fastställa riktlinjer för områden som är av särskild betydelse för organisationen.
Här följer några konkreta exempel kring de övriga delarna i en policy. Framtidsplaner kan
innefatta sådana saker som val av bärbara eller stationära datorer vid nya inköp. När det gäller
riktlinjer är det mer regler för användning som gäller, bland annat när man ska man kunna
logga in eller vad får man göra med en arbetsdator. Om det inte finns ett engagemang som
kan uppehålla de mål eller riktlinjer som har beslutas spelar det ingen roll hur bra system eller
policy man har. En policy är bara en bit papper om den inte efterlevs.
Kiruna Kommun
Eftersom det är en kommun jag har arbetet med har politiken en stor och framträdande roll när det gäller att besluta vid ärenden som påverkar hela organisationen. För närvarande finns det ett förslag till IT-säkerhetspolicy men den är inte politiskt beslutad i skrivande stund.
Förhoppningsvis kommer det ett politiskt beslut under våren 2006. Då detta förslag har tillkommit sent under min undersökning har jag inte haft tid och möjlighet att jämföra den med BITS.
4.1.2 Systemsäkerhetsplan
För att organisationen ska kunna fungera på ett tillfredställande sätt när det gäller IT-säkerhet krävs det att man utformar systemsäkerhetsplaner för alla viktiga system inom verksamheten.
Detta görs genom att man kartlägger hur olika system är beroende av varandra, vilken information som hanteras och kommunikationen både internt och externt till andra system.
BASNIVÅ
En systemsäkerhetsplan ska:
upprättas för varje IT-system som bedöms viktig för verksamheten.
fastställas av systemägaren och dokumenteras.
utpeka vem som är systemägare.