Granskning av IT-säkerhet Habo Kommun
Oktober 2020 – Torbjörn Bengtsson, Peter Birgersson och Louise Bredvik.
Granskning av IT-säkerhet | Innehåll
1
Innehåll
Innehåll 1
Sammanfattning 2
Inledning 3
Granskningsresultat 5
Bilaga 1 9
Granskning av IT-säkerhet | Sammanfattning
2
Sammanfattning
Deloitte AB har av de förtroendevalda revisorerna i Habo kommun fått uppdraget att genomföra en granskning av kommunens arbete med IT-säkerhet avseende intrång av extern aktör.
Revisionsfråga
Har kommunstyrelsen säkerställt att kommunens
IT-säkerhet gällande det externa nätverket är tillräckligt för att minska risken för intrång av en extern aktör?
Svar på revisionsfråga
Vår sammanfattande bedömning är att kommunstyrelsens arbete med IT-säkerhet är i behov av förbättring för att minska risken för intrång av en extern aktör. Ett övergripande arbete med IT- säkerhet är nödvändigt för att på ett proaktivt och systematiskt arbetssätt identifiera hot och risker och de nödvändiga tekniska säkerhetsåtgärder som behöver implementeras.
Bedömningar
De noterade sårbarheterna kan enskilt eller tillsammans utgöra en risk gentemot kommunens informationstillgångar och personuppgifter. Noterade grundorsaker i granskningen avsåg följande områden:
• Otillräckliga eller avsaknad av säkerhetskonfigurationer och installationer
• Osäker programmering/systemutveckling
• Bristfällig hantering av sårbarheter och installation av säkerhetsuppdateringar.
Vi har bedömt att kommunen saknar dokumenterade krav för säker konfigurering (”hardening standards”) och dokumenterade grundläggande krav avseende IT-säkerhet. De grundläggande kraven ska reflektera den lägsta nivå av säkerhet som är
nödvändig för att skydda kommunens informationstillgångar och personuppgifter.
Rekommendationer
Kommunen bör etablera ett övergripande arbete med IT-säkerhet och vi rekommenderar kommunstyrelsen att:
• Genom ett riskbaserat tillvägagångssätt, utvärdera samtliga sårbarheter och de externa anslutningarna mot Internet och säkerställa att rimliga skyddsåtgärder införs.
• Etablera krav för säker konfigurering (”hardening standards”) och dokumenterade grundläggande krav avseende IT-
säkerhet som ska säkerställa att det finns en grundläggande nivå av säkerhet vid installation av nya servrar, databaser, applikationer m.m.
Stockholm den 16 oktober 2020 DELOITTE AB
Peter Birgersson Louise Bredvik
Partner Manager
Torbjörn Bengtsson Certifierad kommunal revisor
Granskning av IT-säkerhet | Inledning
3
Bakgrund
Inom såväl näringsliv som offentlig sektor ökar hot- och riskbilden för att externa och obehöriga aktörer får åtkomst till kritiska
tillgångar och känslig information. Detta är bland annat på grund av ökat antal attacker och mer sofistikerade sådana. Organisationer som erfar intrång sker i många fall till följd av illvilliga aktörer som utnyttjat sig av befintliga sårbarheter i organisationens IT-
infrastruktur och informationstillgångar. Detta i samband med att konsekvenserna av attackerna blir allt allvarligare så är behovet stort av att sätta på plats lämpliga säkerhetsåtgärder.
En vanlig ingångspunkt för obehöriga aktörer är de delar av nätverket som har kopplingar externt, ett exempel kan vara organisationers hemsida.
De förtroendevalda revisorerna har bedömt det som väsentligt att granska huruvida kommunen arbetar med IT-säkerhet avseende sitt nätverk och dess externa anslutningar. Revisorerna har därför gett Deloitte i uppdrag att genomföra en granskning av kommunens arbete med IT-säkerhet avseende intrång av extern aktör.
Syfte och avgränsning
Granskningen begränsas till kommunens nätverk med fokus på externa anslutningar och utifrån ett riskbaserat tillvägagångssätt, det vill säga en begränsad mängd externa anslutningar har granskats. Testerna har begränsats av följande faktorer:
• De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån under granskningen.
• I de fall sårbarheter upptäcks så har ett urval av dessa valts ut för att testa om det går att utnyttja sårbarheten för specifika applikationer och system.
• Testet genomfördes med begränsad förhandsinformation för att simulera ett intrång av en extern aktör.
Revisionsfråga
Har kommunstyrelsen säkerställt att kommunens IT-säkerhet gällande det externa nätverket är tillräckligt för att minska risken för intrång av en extern aktör?
Underliggande frågeställningar
• Finns det sårbarheter i kommunens nätverk som illvilliga aktörer kan utnyttja?
• Har kommunens nätverk med anslutningar externt nödvändiga säkerhetsåtgärder för att på ett tillräckligt sätt skydda
kommunens informationstillgångar?
Metod och granskningsinriktning
Säkerhetsgranskningen som har genomförts kallas ”Black Box testing”. Tillvägagångssättet inkluderar testmetoder som simulerar en attack från en extern aktör. Det innebär att testet utfördes utan tillgång till systemen och ingen insikt i IT-miljön. I och med detta tillvägagångssätt kunde vi simulera en attack av en extern aktör.
Granskningens omfattning var riskbaserad och baseras på Deloittes ramverk för säkerhetsutvärderingar, vilket innefattar bland annat sårbarhets- och penetrationstester.
Inledning
Granskning av IT-säkerhet | Inledning
4
Granskningen har delats in i följande faser:
• Planering av säkerhetsgranskning och uppstartsmöte med klient
• Genomförande av säkerhetsgranskning
• Framtagning av viktiga iakttagelser och rekommendationer samt svar på revisionsfråga.
• Rapportskrivning inkl. sakavstämning.
• Presentation av granskning till revisorer.
• Godkänd rapport skickas till berörda nämnder och revisorer.
Kvalitetssäkring
Kvalitetssäkring har skett genom Deloittes interna
kvalitetssäkringssystem. Rapporten är även faktamässigt avstämd med ansvariga personer.
Granskning av IT-säkerhet | Granskningsresultat
5
De iakttagelser som framkommit till följd av säkerhetsgranskningen redogörs under den rubrik som ansetts mest lämplig samt för att besvara underliggande frågeställningar. Riskbedömningsmodellen i Bilaga 1 har använts för att klassificera och prioritera iakttagelser.
Exempel på noterade brister finns beskrivet i Bilaga 2 till denna rapport.
1. Finns det sårbarheter i kommunens nätverk som illvilliga aktörer kan utnyttja?
Nedan följer de noterade sårbarheterna och en beskrivning av den risk som sårbarheten utgör gentemot Habo kommuns IT-miljö.
Bedömning 1.1
Sårbarheten innebär att en extern aktör har möjlighet att få tillgång till och läsa information som de inte ska ha möjlighet till. Det finns därmed en risk att kritisk information eller personuppgifter görs tillgängligt för obehöriga att ta del av.
Sårbarheten har noterats samt
Risk att en obehörig aktör får åtkomst till kritisk information och personuppgifter.
En lyckad attack kan även leda till att den obehöriga aktören får åtkomst till höga behörigheter för tillhörande databas.
1.2
Vi har noterat att kommunens använder sårbara mjukvaror. Denna typ av mjukvara används för bland annat utveckling av gränssnitt för en webbplats som en användare interagerar med. Sårbarheterna har noterats
Noterade versioner innehåller sårbarheter som kan göra det möjligt
att som då kan stjäla information.
Denna attack kan även göra det möjligt för aktören
Risk att webbsidans användare används för att sprida skadlig kod och ge obehöriga personer åtkomst till kommunens IT-miljö vilket kan leda till olovlig och otillbörlig spridning av känslig information relaterad till kommunen.
1.3
Vi har noterat en sårbarhet som gör det möjligt för en obehörig aktör att
Vidare kan sårbarheten leda till skadliga attacker som inkluderar eller
Sårbarheten noterades
Risk att en illvillig aktör utnyttjar sårbarheten för att få åtkomst till kritisk information eller utför obehöriga aktiviteter. Detta kan leda till otillbörlig spridning av känslig information relaterad till
kommunen samt till obehörig åtkomst till kritiska delar i kommunens IT-miljö.
Granskningsresultat
Granskning av IT-säkerhet | Granskningsresultat
6
1.4 Osäkra säkerhetskonfigurationer “ vid Under granskningen har vi noterat att flertalet är
felkonfigurerade. Noterade saknar en inställning för kryptering Detta har noterats för bland annat
Risk att en illvillig aktör kan läsa känslig information som innehåller vilket exempelvis kan vara
1.5
Denna vanligt förekommande sårbarhet . Attacken tillåter illvilliga aktörer Genom denna attack
Risk att webbsidans användare används för att sprida skadlig kod och ge obehöriga personer åtkomst till kommunens IT-miljö vilket kan leda till olovlig och otillbörlig spridning av känslig information relaterad till kommunen.
1.6 Ej säker eller krypterad kommunikation
Vi har noterat en sårbarhet som ger en extern aktör möjligheten att Säkerhetsgranskningen har noterat att det finns system som
Detta gör det möjligt för en extern aktör
Granskningen har även noterat att det finns system som saknar förmågan
Enligt god praxis bör systemet som standard
mellan en användare och ett system för att säkerställa en Vidare har det noterats att sårbara versioner
Sårbarheten uppstår
Sårbarheterna ökar risken för att dessa utnyttjas och därmed gör informationsöverföringar och kommunikationer osäkra.
Detta har noterats för bland annat
Genom de noterade sårbarheterna finns det en risk att en illvillig aktör fångar upp känslig data eller utför obehöriga aktiviteter. Detta kan leda till otillbörlig spridning av känslig information relaterad till kommunen.
1.7 Ej begränsning
Vi har noterat Enligt god praxis ska Det finns kontroll
Risk att en illvillig aktör
utnyttja andra system inom kommunens IT-miljö. Detta kan leda till att kommunens system blir otillgängliga och förhindrar normal användning av systemet eller gör det möjligt för en extern aktör att ta sig in i ett system.
1.8 tillgänglig från internet
Vi har noterat en sårbarhet som ökar risken för
Vidare har vi noterat en sårbarhet som gör det möjligt att Att sådan information är tillgänglig gör det möjligt för en extern aktör att ta reda på andra sårbarheter som
och därefter utnyttja dessa.
Vi har noterat att dessa sårbarheter
Risk att en obehörig aktör utifrån får kännedom om och tillgång till som kan användas och utnyttjas i andra attacker. Detta kan leda till förlust av kommunkritisk information och personuppgifter.
.
Aktören lurar då användaren att klicka på funktioner från en skadlig källa medan aktören har tagit över den ursprungliga webbsidan.
Attacken kan exempelvis övertyga anställda att logga in på kritiska system med sina inloggningsuppgifter eller medborgare att ange sina personuppgifter på en extern webbsida som speglar och liknar den ursprungliga webbsidan.
Risk att webbsidans användare används för att få åtkomst till känslig information relaterad till kommunen, anställda eller
Granskning av IT-säkerhet | Granskningsresultat
7
medborgare. Detta kan leda till att obehöriga personer får åtkomst till kommunens IT-miljö eller otillbörlig spridning av information.
Rekommendation
Habo kommun rekommenderas att för samtliga sårbarheter utvärdera de externa anslutningarna mot Internet och säkerställa att skyddsåtgärder införs via ett riskbaserat tillvägagångssätt.
1.1 För att hantera sårbarheten bör nuvarande konfiguration för noterade webbsidor utvärderas för att säkerställa att dessa konfigureras på lämpligt sätt. Dokumentation bör upprättas för hur korrekt konfiguration ska ske.
1.2 Habo kommun rekommenderas att se över sin rutin för patchning av sårbarheter så att de senaste
mjukvaruversionerna och säkerhetsuppdateringarna installeras i närtid efter att dessa har gjorts tillgängliga av leverantören.
1.3 Kommunen rekommenderas att se över konfigurationen av och ta bort felaktiga uppsättningar och tillåtna anslutningar.
1.4 Vi rekommenderar att kommunen ser över
En uppdatering av bör ske för att säkerställa att överföring av information sker på ett säkert sätt.
1.5 Vi rekommenderar att kommunen ser över
för att säkerställa att emot av applikationen.
1.6 En genomgång av hur Habo kommuns system, applikationer och andra komponenter överför information mellan sig bör genomföras. Syftet med genomgången är att fastställa huruvida uppdateringar av konfigurationer och inställningar bör ske för att säkerställa att informationsöverföringar sker på ett säkert sätt.
1.7 Kommunen bör Begränsningen rekommenderas att utgå utifrån verksamhetskrav och vad som behövs för att uppnå ändamålet Vidare bör applikationen filtrera och
kontrollera Ett alternativ är att använda
sig av verktyg skadlig kod.
1.8 En genomgång rekommenderas för att identifiera eventuell Vidare bör kommunen säkerställa att de senaste
säkerhetsuppdateringarna installeras för att hantera noterad sårbarhet.
1.9
1.10 Vi rekommenderar Habo kommun att se över
konfigurationen för att säkerställa att åtgärder gentemot vidtas.
Granskning av IT-säkerhet | Granskningsresultat
8
2. Har kommunens nätverk med anslutningar externt nödvändiga säkerhetsåtgärder för att på ett tillräckligt sätt skydda kommunens informationstillgångar?
Bedömning
De noterade sårbarheterna kan enskilt eller tillsammans utgöra en risk gentemot kommunens informationstillgångar och
personuppgifter. Noterade grundorsaker i granskningen avsåg följande områden:
• Otillräckliga eller avsaknad säkerhetskonfigurationer och installationer
• Osäker programmering/systemutveckling
• Bristfällig hantering av sårbarheter och installation av säkerhets uppdateringar.
Vi har bedömt att kommunen saknar dokumenterade krav för säker konfigurering (”hardening standards”) och dokumenterade
grundläggande krav avseende IT-säkerhet. De grundläggande kraven ska reflektera den lägsta nivå av säkerhet som är nödvändig för att skydda Habo kommuns informationstillgångar och ska baseras på en risk- och sårbarhetsanalys.
Rekommendation
Kommunen rekommenderas att genomföra en riskanalys samt en tillhörande hotbildsanalys för att skapa sig en detaljerad förståelse av vilka kritiska informationstillgångar som finns inom kommunen och därav vilka säkerhetsåtgärder som behöver implementeras för att hantera identifierade risker och hot. Hotbildsanalysen bör exempelvis innefatta:
• Identifiera relevanta aktörer och tillvägagångssätt som kan utgöra ett hot mot kommunen. Detta ska genomföras baserat på kommunens kritiska informationstillgångar.
• Identifiera relevanta hotscenarier baserat på tidigare identifierade aktörer, tillvägagångssätt och
informationstillgångar.
• En bedömning av scenariernas sannolikhet och konsekvens.
Baserat på resultatet bör kommunen etablera krav för säker konfigurering (”hardening standards”) och dokumenterade
grundläggande krav avseende IT-säkerhet som ska säkerställa att det finns en grundläggande nivå av säkerhet vid installation av nya servrar, databaser, applikationer m.m.
Granskning av IT-säkerhet | Bilaga 1
9
Bilaga 1
För varje bedömning av identifierade sårbarheter återges relaterade risker samt ges förslag på rekommendationer. Följande modell har använts för att klassificera och prioritera iakttagelser.
Risk Klassificering
Hög: Sannolikhet och konsekvens bedöms som hög alternativt anses sannolikheten vara medel men med en stor påverkan. Vilket kan leda till kritiska avbrott i den dagliga verksamheten.
Medel: Bedömningar, som trots låg sannolikhet, kan leda till en stor påverkan, eller bedömningar som kategoriseras som medel i sannolikhet och påverkan. Alternativt bedömningar som anses utgöra en hög sannolikhet men som kan leda till en påverkan som anses vara på nivån låg eller medel.
Låg: Bedömningar som har en låg sannolikhet men som kan ha en konsekvens som är antingen låg eller medel, alternativt bedömningar som anses vara medel i sannolikhet men som kan ha en låg konsekvens för verksamheten.
Granskning av IT-säkerhet | Bilaga 1
10
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients.
Please see www.deloitte.com/about to learn more.
Deloitte is a leading global provider of audit and assurance, consulting, financial advisory, risk advisory, tax and related services. Our global network of member firms and related entities in more than 150 countries and territories (collectively, the “Deloitte organization”) serves four out of five Fortune Global 500® companies. Learn how Deloitte’s approximately 312,000 people make an impact that matters at
www.deloitte.com.
Our advice is prepared solely for the use of the client. You may not disclose it or its contents to any other person without our prior written consent. No other person may rely on the advice and we accept no responsibility to any other person.
© 2020 For more information, contact Deloitte AB.