• No results found

Granskning av IT-säkerhet Habo Kommun. Oktober 2020 Torbjörn Bengtsson, Peter Birgersson och Louise Bredvik.

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Granskning av IT-säkerhet Habo Kommun. Oktober 2020 Torbjörn Bengtsson, Peter Birgersson och Louise Bredvik."

Copied!
11
0
0

Loading.... (view fulltext now)

Download now ( 11 Page )

Full text

(1)

Granskning av IT-säkerhet Habo Kommun

Oktober 2020 – Torbjörn Bengtsson, Peter Birgersson och Louise Bredvik.

(2)

Granskning av IT-säkerhet | Innehåll

1

Innehåll

Innehåll 1

Sammanfattning 2

Inledning 3

Granskningsresultat 5

Bilaga 1 9

(3)

Granskning av IT-säkerhet | Sammanfattning

2

Sammanfattning

Deloitte AB har av de förtroendevalda revisorerna i Habo kommun fått uppdraget att genomföra en granskning av kommunens arbete med IT-säkerhet avseende intrång av extern aktör.

Revisionsfråga

Har kommunstyrelsen säkerställt att kommunens

IT-säkerhet gällande det externa nätverket är tillräckligt för att minska risken för intrång av en extern aktör?

Svar på revisionsfråga

Vår sammanfattande bedömning är att kommunstyrelsens arbete med IT-säkerhet är i behov av förbättring för att minska risken för intrång av en extern aktör. Ett övergripande arbete med IT- säkerhet är nödvändigt för att på ett proaktivt och systematiskt arbetssätt identifiera hot och risker och de nödvändiga tekniska säkerhetsåtgärder som behöver implementeras.

Bedömningar

De noterade sårbarheterna kan enskilt eller tillsammans utgöra en risk gentemot kommunens informationstillgångar och personuppgifter. Noterade grundorsaker i granskningen avsåg följande områden:

• Otillräckliga eller avsaknad av säkerhetskonfigurationer och installationer

• Osäker programmering/systemutveckling

• Bristfällig hantering av sårbarheter och installation av säkerhetsuppdateringar.

Vi har bedömt att kommunen saknar dokumenterade krav för säker konfigurering (”hardening standards”) och dokumenterade grundläggande krav avseende IT-säkerhet. De grundläggande kraven ska reflektera den lägsta nivå av säkerhet som är

nödvändig för att skydda kommunens informationstillgångar och personuppgifter.

Rekommendationer

Kommunen bör etablera ett övergripande arbete med IT-säkerhet och vi rekommenderar kommunstyrelsen att:

• Genom ett riskbaserat tillvägagångssätt, utvärdera samtliga sårbarheter och de externa anslutningarna mot Internet och säkerställa att rimliga skyddsåtgärder införs.

• Etablera krav för säker konfigurering (”hardening standards”) och dokumenterade grundläggande krav avseende IT-

säkerhet som ska säkerställa att det finns en grundläggande nivå av säkerhet vid installation av nya servrar, databaser, applikationer m.m.

Stockholm den 16 oktober 2020 DELOITTE AB

Peter Birgersson Louise Bredvik

Partner Manager

Torbjörn Bengtsson Certifierad kommunal revisor

(4)

Granskning av IT-säkerhet | Inledning

3

Bakgrund

Inom såväl näringsliv som offentlig sektor ökar hot- och riskbilden för att externa och obehöriga aktörer får åtkomst till kritiska

tillgångar och känslig information. Detta är bland annat på grund av ökat antal attacker och mer sofistikerade sådana. Organisationer som erfar intrång sker i många fall till följd av illvilliga aktörer som utnyttjat sig av befintliga sårbarheter i organisationens IT-

infrastruktur och informationstillgångar. Detta i samband med att konsekvenserna av attackerna blir allt allvarligare så är behovet stort av att sätta på plats lämpliga säkerhetsåtgärder.

En vanlig ingångspunkt för obehöriga aktörer är de delar av nätverket som har kopplingar externt, ett exempel kan vara organisationers hemsida.

De förtroendevalda revisorerna har bedömt det som väsentligt att granska huruvida kommunen arbetar med IT-säkerhet avseende sitt nätverk och dess externa anslutningar. Revisorerna har därför gett Deloitte i uppdrag att genomföra en granskning av kommunens arbete med IT-säkerhet avseende intrång av extern aktör.

Syfte och avgränsning

Granskningen begränsas till kommunens nätverk med fokus på externa anslutningar och utifrån ett riskbaserat tillvägagångssätt, det vill säga en begränsad mängd externa anslutningar har granskats. Testerna har begränsats av följande faktorer:

• De tester som genomförts ger endast en ögonblicksbild av brister och säkerhetsnivån under granskningen.

• I de fall sårbarheter upptäcks så har ett urval av dessa valts ut för att testa om det går att utnyttja sårbarheten för specifika applikationer och system.

• Testet genomfördes med begränsad förhandsinformation för att simulera ett intrång av en extern aktör.

Revisionsfråga

Har kommunstyrelsen säkerställt att kommunens IT-säkerhet gällande det externa nätverket är tillräckligt för att minska risken för intrång av en extern aktör?

Underliggande frågeställningar

• Finns det sårbarheter i kommunens nätverk som illvilliga aktörer kan utnyttja?

• Har kommunens nätverk med anslutningar externt nödvändiga säkerhetsåtgärder för att på ett tillräckligt sätt skydda

kommunens informationstillgångar?

Metod och granskningsinriktning

Säkerhetsgranskningen som har genomförts kallas ”Black Box testing”. Tillvägagångssättet inkluderar testmetoder som simulerar en attack från en extern aktör. Det innebär att testet utfördes utan tillgång till systemen och ingen insikt i IT-miljön. I och med detta tillvägagångssätt kunde vi simulera en attack av en extern aktör.

Granskningens omfattning var riskbaserad och baseras på Deloittes ramverk för säkerhetsutvärderingar, vilket innefattar bland annat sårbarhets- och penetrationstester.

Inledning

(5)

Granskning av IT-säkerhet | Inledning

4

Granskningen har delats in i följande faser:

• Planering av säkerhetsgranskning och uppstartsmöte med klient

• Genomförande av säkerhetsgranskning

• Framtagning av viktiga iakttagelser och rekommendationer samt svar på revisionsfråga.

• Rapportskrivning inkl. sakavstämning.

• Presentation av granskning till revisorer.

• Godkänd rapport skickas till berörda nämnder och revisorer.

Kvalitetssäkring

Kvalitetssäkring har skett genom Deloittes interna

kvalitetssäkringssystem. Rapporten är även faktamässigt avstämd med ansvariga personer.

(6)

Granskning av IT-säkerhet | Granskningsresultat

5

De iakttagelser som framkommit till följd av säkerhetsgranskningen redogörs under den rubrik som ansetts mest lämplig samt för att besvara underliggande frågeställningar. Riskbedömningsmodellen i Bilaga 1 har använts för att klassificera och prioritera iakttagelser.

Exempel på noterade brister finns beskrivet i Bilaga 2 till denna rapport.

1. Finns det sårbarheter i kommunens nätverk som illvilliga aktörer kan utnyttja?

Nedan följer de noterade sårbarheterna och en beskrivning av den risk som sårbarheten utgör gentemot Habo kommuns IT-miljö.

Bedömning 1.1

Sårbarheten innebär att en extern aktör har möjlighet att få tillgång till och läsa information som de inte ska ha möjlighet till. Det finns därmed en risk att kritisk information eller personuppgifter görs tillgängligt för obehöriga att ta del av.

Sårbarheten har noterats samt

Risk att en obehörig aktör får åtkomst till kritisk information och personuppgifter.

En lyckad attack kan även leda till att den obehöriga aktören får åtkomst till höga behörigheter för tillhörande databas.

1.2

Vi har noterat att kommunens använder sårbara mjukvaror. Denna typ av mjukvara används för bland annat utveckling av gränssnitt för en webbplats som en användare interagerar med. Sårbarheterna har noterats

Noterade versioner innehåller sårbarheter som kan göra det möjligt

att som då kan stjäla information.

Denna attack kan även göra det möjligt för aktören

Risk att webbsidans användare används för att sprida skadlig kod och ge obehöriga personer åtkomst till kommunens IT-miljö vilket kan leda till olovlig och otillbörlig spridning av känslig information relaterad till kommunen.

1.3

Vi har noterat en sårbarhet som gör det möjligt för en obehörig aktör att

Vidare kan sårbarheten leda till skadliga attacker som inkluderar eller

Sårbarheten noterades

Risk att en illvillig aktör utnyttjar sårbarheten för att få åtkomst till kritisk information eller utför obehöriga aktiviteter. Detta kan leda till otillbörlig spridning av känslig information relaterad till

kommunen samt till obehörig åtkomst till kritiska delar i kommunens IT-miljö.

Granskningsresultat

(7)

Granskning av IT-säkerhet | Granskningsresultat

6

1.4 Osäkra säkerhetskonfigurationer “ vid Under granskningen har vi noterat att flertalet är

felkonfigurerade. Noterade saknar en inställning för kryptering Detta har noterats för bland annat

Risk att en illvillig aktör kan läsa känslig information som innehåller vilket exempelvis kan vara

1.5

Denna vanligt förekommande sårbarhet . Attacken tillåter illvilliga aktörer Genom denna attack

Risk att webbsidans användare används för att sprida skadlig kod och ge obehöriga personer åtkomst till kommunens IT-miljö vilket kan leda till olovlig och otillbörlig spridning av känslig information relaterad till kommunen.

1.6 Ej säker eller krypterad kommunikation

Vi har noterat en sårbarhet som ger en extern aktör möjligheten att Säkerhetsgranskningen har noterat att det finns system som

Detta gör det möjligt för en extern aktör

Granskningen har även noterat att det finns system som saknar förmågan

Enligt god praxis bör systemet som standard

mellan en användare och ett system för att säkerställa en Vidare har det noterats att sårbara versioner

Sårbarheten uppstår

Sårbarheterna ökar risken för att dessa utnyttjas och därmed gör informationsöverföringar och kommunikationer osäkra.

Detta har noterats för bland annat

Genom de noterade sårbarheterna finns det en risk att en illvillig aktör fångar upp känslig data eller utför obehöriga aktiviteter. Detta kan leda till otillbörlig spridning av känslig information relaterad till kommunen.

1.7 Ej begränsning

Vi har noterat Enligt god praxis ska Det finns kontroll

Risk att en illvillig aktör

utnyttja andra system inom kommunens IT-miljö. Detta kan leda till att kommunens system blir otillgängliga och förhindrar normal användning av systemet eller gör det möjligt för en extern aktör att ta sig in i ett system.

1.8 tillgänglig från internet

Vi har noterat en sårbarhet som ökar risken för

Vidare har vi noterat en sårbarhet som gör det möjligt att Att sådan information är tillgänglig gör det möjligt för en extern aktör att ta reda på andra sårbarheter som

och därefter utnyttja dessa.

Vi har noterat att dessa sårbarheter

Risk att en obehörig aktör utifrån får kännedom om och tillgång till som kan användas och utnyttjas i andra attacker. Detta kan leda till förlust av kommunkritisk information och personuppgifter.

.

Aktören lurar då användaren att klicka på funktioner från en skadlig källa medan aktören har tagit över den ursprungliga webbsidan.

Attacken kan exempelvis övertyga anställda att logga in på kritiska system med sina inloggningsuppgifter eller medborgare att ange sina personuppgifter på en extern webbsida som speglar och liknar den ursprungliga webbsidan.

Risk att webbsidans användare används för att få åtkomst till känslig information relaterad till kommunen, anställda eller

(8)

Granskning av IT-säkerhet | Granskningsresultat

7

medborgare. Detta kan leda till att obehöriga personer får åtkomst till kommunens IT-miljö eller otillbörlig spridning av information.

Rekommendation

Habo kommun rekommenderas att för samtliga sårbarheter utvärdera de externa anslutningarna mot Internet och säkerställa att skyddsåtgärder införs via ett riskbaserat tillvägagångssätt.

1.1 För att hantera sårbarheten bör nuvarande konfiguration för noterade webbsidor utvärderas för att säkerställa att dessa konfigureras på lämpligt sätt. Dokumentation bör upprättas för hur korrekt konfiguration ska ske.

1.2 Habo kommun rekommenderas att se över sin rutin för patchning av sårbarheter så att de senaste

mjukvaruversionerna och säkerhetsuppdateringarna installeras i närtid efter att dessa har gjorts tillgängliga av leverantören.

1.3 Kommunen rekommenderas att se över konfigurationen av och ta bort felaktiga uppsättningar och tillåtna anslutningar.

1.4 Vi rekommenderar att kommunen ser över

En uppdatering av bör ske för att säkerställa att överföring av information sker på ett säkert sätt.

1.5 Vi rekommenderar att kommunen ser över

för att säkerställa att emot av applikationen.

1.6 En genomgång av hur Habo kommuns system, applikationer och andra komponenter överför information mellan sig bör genomföras. Syftet med genomgången är att fastställa huruvida uppdateringar av konfigurationer och inställningar bör ske för att säkerställa att informationsöverföringar sker på ett säkert sätt.

1.7 Kommunen bör Begränsningen rekommenderas att utgå utifrån verksamhetskrav och vad som behövs för att uppnå ändamålet Vidare bör applikationen filtrera och

kontrollera Ett alternativ är att använda

sig av verktyg skadlig kod.

1.8 En genomgång rekommenderas för att identifiera eventuell Vidare bör kommunen säkerställa att de senaste

säkerhetsuppdateringarna installeras för att hantera noterad sårbarhet.

1.9

1.10 Vi rekommenderar Habo kommun att se över

konfigurationen för att säkerställa att åtgärder gentemot vidtas.

(9)

Granskning av IT-säkerhet | Granskningsresultat

8

2. Har kommunens nätverk med anslutningar externt nödvändiga säkerhetsåtgärder för att på ett tillräckligt sätt skydda kommunens informationstillgångar?

Bedömning

De noterade sårbarheterna kan enskilt eller tillsammans utgöra en risk gentemot kommunens informationstillgångar och

personuppgifter. Noterade grundorsaker i granskningen avsåg följande områden:

• Otillräckliga eller avsaknad säkerhetskonfigurationer och installationer

• Osäker programmering/systemutveckling

• Bristfällig hantering av sårbarheter och installation av säkerhets uppdateringar.

Vi har bedömt att kommunen saknar dokumenterade krav för säker konfigurering (”hardening standards”) och dokumenterade

grundläggande krav avseende IT-säkerhet. De grundläggande kraven ska reflektera den lägsta nivå av säkerhet som är nödvändig för att skydda Habo kommuns informationstillgångar och ska baseras på en risk- och sårbarhetsanalys.

Rekommendation

Kommunen rekommenderas att genomföra en riskanalys samt en tillhörande hotbildsanalys för att skapa sig en detaljerad förståelse av vilka kritiska informationstillgångar som finns inom kommunen och därav vilka säkerhetsåtgärder som behöver implementeras för att hantera identifierade risker och hot. Hotbildsanalysen bör exempelvis innefatta:

• Identifiera relevanta aktörer och tillvägagångssätt som kan utgöra ett hot mot kommunen. Detta ska genomföras baserat på kommunens kritiska informationstillgångar.

• Identifiera relevanta hotscenarier baserat på tidigare identifierade aktörer, tillvägagångssätt och

informationstillgångar.

• En bedömning av scenariernas sannolikhet och konsekvens.

Baserat på resultatet bör kommunen etablera krav för säker konfigurering (”hardening standards”) och dokumenterade

grundläggande krav avseende IT-säkerhet som ska säkerställa att det finns en grundläggande nivå av säkerhet vid installation av nya servrar, databaser, applikationer m.m.

(10)

Granskning av IT-säkerhet | Bilaga 1

9

Bilaga 1

För varje bedömning av identifierade sårbarheter återges relaterade risker samt ges förslag på rekommendationer. Följande modell har använts för att klassificera och prioritera iakttagelser.

Risk Klassificering

Hög: Sannolikhet och konsekvens bedöms som hög alternativt anses sannolikheten vara medel men med en stor påverkan. Vilket kan leda till kritiska avbrott i den dagliga verksamheten.

Medel: Bedömningar, som trots låg sannolikhet, kan leda till en stor påverkan, eller bedömningar som kategoriseras som medel i sannolikhet och påverkan. Alternativt bedömningar som anses utgöra en hög sannolikhet men som kan leda till en påverkan som anses vara på nivån låg eller medel.

Låg: Bedömningar som har en låg sannolikhet men som kan ha en konsekvens som är antingen låg eller medel, alternativt bedömningar som anses vara medel i sannolikhet men som kan ha en låg konsekvens för verksamheten.

(11)

Granskning av IT-säkerhet | Bilaga 1

10

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients.

Please see www.deloitte.com/about to learn more.

Deloitte is a leading global provider of audit and assurance, consulting, financial advisory, risk advisory, tax and related services. Our global network of member firms and related entities in more than 150 countries and territories (collectively, the “Deloitte organization”) serves four out of five Fortune Global 500® companies. Learn how Deloitte’s approximately 312,000 people make an impact that matters at

www.deloitte.com.

Our advice is prepared solely for the use of the client. You may not disclose it or its contents to any other person without our prior written consent. No other person may rely on the advice and we accept no responsibility to any other person.

© 2020 For more information, contact Deloitte AB.

References

Download now ( PDF - 11 Page - 243.56 KB )

Related documents

Granskning av IT Säkerhetsarbete Härnösands kommun

Vi har noterat att det inte finns någon dokumentation kopplat till vilka specifika behörigheter en användare har utöver att utföra enskilda kontroller i respektive

Granskning av IT-säkerhet

- KPMG rekommenderar kommunen att rutinmässigt säkerställa att IT-funktionen deltar i upphandlingar avseende IT-tjänster för att inte riskera att upphandlingar genomförs som

Habo kommun Granskning av kvaliteten i äldreomsorgen i Habo kommun. November 2013 Torbjörn Bengtsson och Jakob Janerheim

I syfte att öka kvaliteten inom hemtjänsten i kommunen bör socialnämnden utarbeta mer konkreta mål för verksamheten.. Vi tror att en hög personalkontinuitet är en av de

JÖNI

Granskningen visar att barn- och utbildningsnämnden och tekniska nämnden har bra beredskap för pensionsavgångar inom de närmast kommande

IT-regler Användare BAS

För att använda sociala medier i tjänsten måste du få ett tydligt uppdrag av din närmaste chef och uppdraget ska anmälas till Gislaveds kommuns kommunikationsenhet

Granskning av IT-säkerhet

Forshaga kommun har lämpliga roller och ansvar för informations- och IT-säkerhet men behöver uppdatera, utveckla och formalisera styrande dokument avseende rutiner inom

Höör och Hörby kommun Övergripande säkerhetsgranskning av kommunens IT- säkerhet avseende externt och internt dataintrång

1) Implementera en organisation med roller som motsvarar de behov som faktiskt finns i verksamheten för att övervaka område för IT- och informationssäkerhet i form av

Granskning av IT- säkerhet

Det finns till viss del rutiner för att säkerställa att nya risker och hot identifieras genom att regionen löpande får information från CERT, sina externa leverantörer samt genom