Granskning av IT-säkerhet

(1)

Granskning av IT-säkerhet

Revisionsrapport Arvika kommun

KPMG AB 2021-01-25 Antal sidor 18

(2)

Arvika kommun

Granskning av IT-säkerhet 2021-01-25

Innehållsförteckning

1 Sammanfattning 2

2 Inledning/bakgrund 4

2.1 Syfte, revisionsfråga och avgränsning 4

2.2 Revisionskriterier 5

2.3 Metod 5

3 Resultat av granskningen 6

3.1 Informationssäkerhet och riktlinjer 7

3.2 Informationssäkerhet vid användande av mobila enheter 8 3.3 Rutiner kring åtkomsthantering för IT-system och molntjänster 9

3.4 Informationssäkerhetskrav vid upphandling 11

3.5 Rutiner för backup och återläsning 12

3.6 Rutiner för katastrof- och incidenthantering 13

4 Slutsats och rekommendationer 14

4.1 Iakttagelser och rekommendationer 14

(3)

Arvika kommun

2

1 Sammanfattning

Vi har av Arvika kommuns revisorer fått i uppdrag att granska kommunens arbete med informations- och IT-säkerhet. Det övergripande syftet med granskningen har varit att fastställa om riktlinjer finns kring informationssäkerhet samt IT-säkerhet. Granskningen ingår i revisorernas revisionsplan år 2020.

Granskningen har genomförts genom intervjuer med nyckelpersoner kring

informationssäkerhetsarbetet, digitalisering och IT-drift inom kommunen. Därutöver har en dokumentanalys av befintliga policydokument och säkerhetsinstruktioner

genomförts. Arvika kommun har en IT-funktion bestående av 13 personer. IT- funktionen är uppdelad i två team, ett drift-team och ett support-team. Drift-teamet arbetar med driftrelaterade och verksamhetsrelaterade frågeställningar så som drift av miljöer och stöd till verksamheterna gällande verksamhetssystem. Support-teamet arbetar med användarsupport och -stöd, beställningar och installationer.

Samtliga kritiska verksamhetssystem har utsedda systemägare och systemförvaltare.

I granskningen har KPMG kunnat konstatera att kommunen har vissa riktlinjer, rutiner och formella styrande dokument med bäring på IT- och informationssäkerhetsfrågor kopplat till användning av IT-system och molntjänster. Dock arbetar kommunen även med informella rutiner där relevanta frågeställningar kring informationssäkerhet ofta berörs, om än inte på ett standardiserat sätt.

Kommunen har en informationssäkerhetspolicy som senast uppdaterades 2018 och som beskriver hur kommunen ska bedriva sitt informationssäkerhetsarbete.

Kommunen har identifierat ett behov av att erbjuda utbildning i frågor gällande informationssäkerhet och dataskydd för att säkerställa att informationssäkerhet efterlevs så som utstakat i informationssäkerhetspolicyn, men utbildning genomförs inte på ett standardiserat sätt eller med krav på deltagande.

Vissa brister avseende upphandling av IT-system har identifierats och det saknas ett standardiserat förfarande för upphandling av IT-lösningar. Vidare saknas rutiner för att säkerställa att riskanalyser genomförs i samband med upphandling av IT-tjänster.

Ytterligare har brister identifierats kopplat till avsaknad av dokumenterade rutiner för katastrofhantering inom IT-området.

KPMG noterar i sin granskning följande väsentliga iakttagelser med tillhörande rekommendationer till hur dessa kan stärkas:

1. Dokumenterade rutiner saknas vid upphandlingar av molntjänster

- KPMG rekommenderar kommunen att stärka rutinerna kring inköp och upphandling genom att formalisera och standardisera riktlinjer för upphandlingar av verksamhetssystem inkluderat specifika frågeställningar som härleds från molntjänster. Ytterligare kan en checklista som tar hänsyn till ovan nämnda områden upprättas som en guide i syfte att säkerställa att samtliga viktiga aspekter vid upphandlingar av IT-tjänster tas i beaktande.

(4)

Arvika kommun

- KPMG rekommenderar kommunen att upprätta tydliga rutiner för hur kravställning ska se ut kring hur data och information i en molntjänst ska kunna återläsas vid eventuell förlust. Detta är extra viktigt avseende sekretessbelagd information, både ur ett intern och ett externt perspektiv.

- KPMG rekommenderar kommunen att rutinmässigt säkerställa att IT-funktionen deltar i upphandlingar avseende IT-tjänster för att inte riskera att upphandlingar genomförs som inte möter de krav som finns på informationssäkerhet, följer väsentliga lagkrav, samt passar in i systemfloran totalt.

2. Brist på utbildning inom informationssäkerhet för kommunanställda

- KPMG rekommenderar att kommunen implementerar en rutin för uppföljning av genomförande av de utbildningar inom informationssäkerhet som kommunen tillgängliggjort, i syfte att säkerställa att medarbetare får grundläggande utbildning i informationssäkerhet.

3. Avsaknad av avbrottsplan

- KPMG rekommenderar kommunen att säkerställa att en dokumenterad avbrottsplan tas fram i syfte att säkerställa arbetsgången, inklusive roller och ansvar, vid ett inträffat avbrott och därmed minska effekten av eventuella inträffade sådana.

(5)

Arvika kommun

4

2 Inledning/bakgrund

KPMG har av Arvika kommuns revisorer fått i uppdrag att utreda hur kommunen arbetar med informations- och IT-säkerhet. Uppdraget har ingått i revisionsplanen för år 2020.

Samtlig verksamhet är i dagsläget beroende av IT och det IT-stöd som används. IT- verksamheten måste fungera för att kommunen ska kunna utföra den samhällsviktiga funktionen. IT-verksamheten behöver utföras på ett effektivt sätt där nyttan med IT- relaterade beslut alltid finns i åtanke.

Molntjänster för bland annat applikationer och lagring av data blir allt mer vanligt förekommande i både privata och offentliga organisationer. En molntjänst kan utformas på ett antal olika sätt men kortfattat så är en molnlösning en färdigpaketerad tjänst där lagring, datorkapacitet, programvara eller liknande levereras över Internet. Molntjänster innebär därmed att applikationer och underliggande data inte längre hanteras inom den egna organisationen.

Samtlig IT-verksamhet behöver utföras på ett säkert sätt där informationen som bearbetas skyddas mot extern och intern missanvändning. Användares IT-användning behöver styras både på policynivå och genom systembegränsningar. En stor mängd viktig information, varav en del är sekretessbelagd, hanteras i IT-systemen.

Utvecklingen går mot att än mer information hanteras elektroniskt och därmed minskar den fysiska kontrollen på informationen. IT-säkerhet är därmed ett väsentligt område och det krävs en tydlig hantering för att säkerställa skyddet kring viktig information.

Säkerhetsaspekter som bör existera inkluderar bland annat åtkomsthantering och drifthantering. Kommunens arbete med behörigheter och lösenord utgör en väsentlig del i säkerhetsarbetet då bristande rutiner och riktlinjer kan leda till att obehöriga personer får tillgång till känslig information.

Arvika kommuns revisorer drar i sin riskanalys slutsatsen att området för informations- och IT-säkerhet behöver granskas.

1.

Syfte, revisionsfråga och avgränsning

Det övergripande syftet med granskningen har varit att fastställa om riktlinjer finns kring informationssäkerhet samt IT-säkerhet.

Granskningen syftar till att besvara följande revisionsfrågor:

 Finns en informationssäkerhetspolicy med tillhörande informationssäkerhetsrutiner och regelverk som tar i beaktande säkerhetsfrågor med avseende på ny IT-teknisk utveckling såsom molntjänster, mobila enheter och hantering av sociala medier?

 Hur säkerställs informationssäkerheten vid användandet av mobila enheter såsom läsplattor, datorer och mobiltelefoner och vid avslut av behörigheter och anställningar?

(6)

Arvika kommun

 Finns riktlinjer för åtkomsthantering för väsentliga IT-system inklusive riktlinjer för beställning av behörighetsförändringar, lösenordshantering, begränsning kring höga behörigheter och säkerhet relaterad till att endast behöriga personer har åtkomst till relevanta IT-system?

 Beaktas informationssäkerhetskrav vid upphandling av nya IT-tjänster så som exempelvis molntjänster?

 Finns rutiner för backup och återläsningstest och hur säkerställs efterlevnaden av dessa?

 Finns riktlinjer och rutiner för katastrof- och incidenthantering?

Granskningen har fokuserats på verksamheten kring IT och identifiering av eventuella förbättringsområden. Granskningen omfattar inte en utvärdering av lämpligheten i befintliga system eller hårdvara som kommunen använder. Granskningen inkluderar inte implementering av de rekommendationer som lämnas.

Granskningen avser kommunstyrelsen.

2.

Revisionskriterier

Vi har bedömt om rutinerna uppfyller

 Kommunallagen 6 kap.

 Tillämpbara interna regelverk och policys avseende informationssäkerhet

 Jämförbar praxis avseende informationssäkerhet

3.

Metod

Granskningen har genomförts genom:

 Studier av relevanta dokument

 Faktainsamling av underlag

 Intervjuer med berörda tjänstemän

o IT-chef

o Informationssäkerhetssamordnare o Samordnare för dataskydd

(7)

Arvika kommun

6

3 Resultat av granskningen

Bakgrund till IT-miljön

Arvika kommun har en IT-funktion bestående av 13 personer. IT-funktionen är uppdelad i två team, ett drift-team och ett support-team. Drift-teamet arbetar med driftrelaterade och verksamhetsrelaterade frågeställningar som rör drift av miljöer och stöd till verksamheterna gällande verksamhetssystem. Support-teamet arbetar med support, användarstöd, beställningar och installationer. Kommunen har en

informationssäkerhetssamordnare som organisatoriskt är placerad på räddningstjänst och som sitter i en säkerhetssamordning, där man arbetar både med säkerhet och informationssäkerhet i syfte att hitta synergier och säkerställa kravställning.

Informationssäkerhetssamordningen är gemensam med Eda, Säffle och Årjäng.

Samtliga kritiska verksamhetssystem har en systemägare och en systemförvaltare.

Kommunen samarbetar med andra värmländska kommuner vid upphandlingar av nya programvaror och IT-tjänster. Denna samverkan kommunerna emellan bidrar till lägre kostnader vid upphandlingar och en kvalitetssäkring av nya produkter. Kommunerna samverkar även avseende informationssäkerhetsfrågor som uppstår.

Arvika kommun anlitar Atea som leverantör av servermiljöer och konsultation. Det innebär att Atea bistår i driften av kommunens servrar och databaser. Drifthallen är placerad lokalt i kommunhuset och backuplösningarna är placerade på två platser i kommunen. Under senare delen av 2020 har kommunen tagit in leverantören för att utföra återläsningstester och analyser av databasmiljöerna. Med start i november 2020 kommer en månatlig rapport över status och förbättringsförslag kopplat till driften av kommunens databaser att levereras till kommunen. Upphandlingen av IT-driften i Arvika kommun genomfördes i samverkan med andra värmländska kommuner och Atea är därmed leverantör till alla kommuner som deltog i upphandlingen.

Kommunen använder ett antal olika molntjänster i verksamheten, främst Office 365 som håller på att implementeras och Google G Suite som används som digital plattform inom skolan. Avseende Office 365 används främst mailfunktionen, lagringsfunktionen One Drive samt Teams som används för möten och fillagring.

Fillagring via SharePoint kommer att implementeras i ett senare skede. Kommunen använder fortfarande mestadels traditionella systemlösningar och lokal driftmiljö. De har medvetet skyndat långsamt med att införa molnlösningar. Samtliga kritiska verksamhetssystem har en systemägare som har det överordnade ansvaret för systemet och en systemförvaltare med ansvar för administrationen i systemet. För varje system finns dessutom en kontaktperson på IT och det finns noterat en kontaktperson hos leverantören för varje system. Ansvaret för väsentliga

verksamhetssystem ligger primärt i verksamheterna, medan ansvaret för nätverk, servrar, databaser och vissa kommungemensamma system ligger hos IT-funktionen.

(8)

Arvika kommun

1.

Informationssäkerhet och riktlinjer

Arvika kommun har en informationssäkerhetspolicy, daterad 2018-06-25. Därtill finns en IT-policy, daterad 2018-06-22. Både informationssäkerhetspolicyn och IT-policyn finns tillgängliga på kommunens intranät och täcker på ett grundläggande sätt in väsentliga områden avseende användning av IT och hantering av information.

Informationssäkerhetspolicyn täcker frågor kring hantering och skydd av information på en övergripande nivå. Det finns också riktlinjer kring lagring av information och

dokument, antagna 2019-12-02. Dessa riktlinjer styr kommunens lagring av information och dokument i verksamhetssystem och i molnlösningar, inklusive vilken typ av

information och dokument som användare får lagra i molntjänster. Riktlinjerna dikterar att information som kan betraktas som konfidentiell eller känslig inte får lagras i

molntjänster utan sådan information ska lagras i verksamhetssystemen. I molntjänster får endast öppna uppgifter lagras.

Informationssäkerhetspolicyn och IT-policyn formar villkoren för det övergripande informationssäkerhetsarbetet i kommunen och tar upp de frågeställningar som användare kan ställas inför på daglig basis. IT-policyn reglerar den strategiska inriktningen för IT-utvecklingen i kommunen och godkännande av IT-lösningar i kommunen. Som ett komplement till informationssäkerhetspolicyn och IT-policyn har kommunen tagit fram ett antal regler och riktlinjer för IT-användning samt för

användning av mobila enheter, såsom telefoner och läsplattor, epost och sociala medier. Ytterligare finns instruktioner för distansarbete som användare måste läsa igenom och skriva under innan de kan arbeta hemifrån. Samtliga riktlinjer ska uppdateras vid varje treårsperiod eller efter behov.

3.1.1 Bedömning

Arvika kommun har en informationssäkerhetspolicy och en IT-policy med ett flertal tillhörande riktlinjer på plats och samtliga dokument har uppdaterats under den senaste treårsperioden. Informationssäkerhetspolicyn behandlar frågor kring hantering och skydd av information på en övergripande nivå och IT-policyn belyser kommunens strategiska inriktning för IT- användning och resurser. Tillhörande riktlinjer och styrande dokument är mer specifika och riktar sig till kommunens IT-användare. KPMG kan konstatera att både informationssäkerhetspolicyn och IT-policyn finns tillgängliga för de kommunanställda att ta del av på kommunens intranät. De båda policydokumenten kan sammantaget sägas täcka väsentliga områden för IT- och informationssäkerhet, och tillsammans med de tillhörande riktlinjerna för användning av olika IT-tjänster, såsom mobila enheter, sociala medier och epost samt för lagring av information i molntjänster, täcker dokumenten in väsentliga säkerhetsfrågor som kommunens användare kan ställas inför dagligen.

(9)

Arvika kommun

8

3.2 Informationssäkerhet vid användande av mobila enheter

Mobila enheter såsom mobiltelefoner, läsplattor och bärbara datorer används i stor utsträckning i kommunens verksamheter. Kommunen särskiljer inte på användande av mobila enheter och fasta datorer, utan samtliga enheter ska betraktas som

arbetsredskap och privat användning är generellt sett inte tillåten. Användare som förlorar sin enhet ska direkt ringa till IT-jouren för att spärra och låsa enheten.

Kommunen använder ett MDM-system (mobile device management system) till vilket samtliga enheter ska kopplas för att kunna ha koll på samtliga enheters användning och begränsa tillgång till exempelvis installation av appar som inte behövs för att utföra arbetet. MDM-systemet styr även vilka lösenordskrav som tillämpas på mobiltelefoner och läsplattor, lösenord på mobiltelefoner och läsplattor måste innehålla minst fyra tecken, varav tre tecken måste vara olika. Om någon tappar bort sin enhet kan kommunen med hjälp av MDM-systemet spärra enheterna på distans.

Det finns instruktioner avseende distansarbete på bärbara datorer. För att kunna arbeta på distans måste datorer fjärransluta till kommunens administrativa nätverk via en fjärranslutningstjänst som installeras på medarbetarens dator, och därmed får användaren åtkomst till mappstrukturer och verksamhetssystem. Endast kommunens datorer får fjärranaslutas till kommunens nätverk. För att kunna ansluta krävs att datorn är ansluten till kommunens AD (Active Directory). AD är en katalogtjänst som används för att organisera användare, datorer och annan hårdvara i en struktur, och kan

användas för att delegera behörigheter genom ett rollbaserat system där varje användare eller dator får en roll. Det måste dessutom finnas ett virusskydd installerat på datorn för att den ska få fjärranslutas. All internettrafik som går via datorer som är fjärranslutna till kommunens nät passerar kommunens brandvägg. För att få tillåtelse att arbeta på distans måste användare läsa igenom och skriva under ett dokument som reglerar villkoren för distansarbete i samband med att tjänsten för fjärranslutning

installeras av IT-funktionen.

Vid avslut av anställning och behörighet är det varje chefs ansvar att fylla i ett formulär som finns på intranätet. Formuläret skickas till servicedesk och ett ärende genereras automatiskt. Därefter inaktiverar IT-funktionen användarens AD-konto. Utan ett AD- konto kan en användare inte nå merparten av IT-systemen då det inte går att komma in i sin dator utan ett AD-konto. För mobil användning av bärbara datorer krävs att

enheten är kopplad till en behörighet i AD. Tas AD-kontot bort går det inte längre att komma åt sin dator. Mobiltelefoner och läsplattor inaktiveras genom MDM-systemet.

När en medarbetare avslutar sin anställning ska dennes samtliga enheter lämnas in till IT-funktionen. Kommunen köper en tjänst av sin IT-driftsleverantör som innebär att leverantören ett par gånger varje år sätter upp ett låst skåp i vilket kommunen kan lägga gamla datorer och andra enheter för återvinning. Leverantören hanterar bortskaffandet av enheterna och säkerställer att all information som finns lagrad på dem förstörs.

Kommunen har under året köpt in utbildningsmaterial avseende informationssäkerhet och dataskydd. Utbildningarna ligger som e-learnings och är tillgängliga för samtliga medarbetare. Kommunen har dock sett att deltagande i utbildningarna är lågt. Det har inte varit krav för medarbetare att genomföra utbildningarna och det har inte heller gått ut påminnelser. I och med den pågående implementationen av Office 365 pågår ett

(10)

Arvika kommun

projekt med att utbilda alla användare av tjänsten. Baserat på vilken yrkeskategori användaren tillhör utförs utbildningar avseende webbanvändning och

telefonanvändning av Office 365. Syftet med utbildningarna är att skapa en medvetenhet kring dataskyddsfrågor i användandet av molntjänsten.

3.2.1 Bedömning

Informationssäkerhet i användning av mobila enheter regleras genom kommunens MDM-system, och innebär att IT-funktionen har möjlighet att följa upp hur enheterna används och begränsa vilka applikationer som kan laddas ned på enheterna. MDM- systemet reglerar även lösenordskraven på de mobila enheterna och IT-funktionen har med hjälp av systemet möjlighet att spärra enheter om de till exempel tappas bort. Det finns också styrning kring fjärranslutning till kommunens nätverk. Även om MDM- systemet i hög grad kan reglera informationssäkerheten kopplat till användning av mobila enheter, styrs ändock användare till viss del av policys och riktlinjer med bäring på vad som är tillåtet och inte, exempelvis avseende epost och sociala medier. Därmed finns ett behov av att samtliga användare får grundläggande utbildning i

informationssäkerhet. Detta i syfte att säkerställa att användare inte gör egna

subjektiva och mindre lämpliga bedömningar exempelvis avseende hantering av epost och sociala medier. KPMG noterar att det pågår utbildning för samtliga

kommunanställda avseende användning av Office 365 som behandlar frågor avseende dataskydd, inklusive lagring av dokument och information i molntjänster.

3.3 Rutiner kring åtkomsthantering för IT-system och molntjänster

Det finns en etablerad process för hantering av åtkomst och behörigheter i kommunens IT-system och kommunen skiljer inte på hantering av traditionella IT-system och

molntjänster i det avseendet. Kommunen använder ett formulär på intranätet för beställning, förändring och avslut av behörigheter för de system och molntjänster som administreras av IT-funktionen. Formuläret skickas till servicedesk som skapar ett ärende i kommunens ärendehanteringssystem. Kommunen använder sig av två nätverk, ett administrativt nätverk och ett pedagogiskt nätverk. För upplägg, förändring och avslut av behörigheter i kommunens båda nätverk finns två dedikerade personer som ansvarar för detta, en person ansvarar för det administrativa nätverket och en för det pedagogiska nätverket. För merparten av kommunens system krävs först åtkomst till kommunens nätverk, innan övriga applikationer och system kan nås. Ansvaret för åtkomst till verksamhetssystemen ligger i verksamheterna, och detta hanteras på olika sätt för de olika systemen då det inte finns några enhetliga riktlinjer för

åtkomsthantering i verksamhetssystemen. Samtliga väsentliga verksamhetssystem har en systemägare och en systemförvaltare som ansvarar för åtkomstrutiner och

administration i respektive system.

Den främsta molntjänst som används inom kommunen är Office 365, som i dagsläget håller på att implementeras i det administrativa nätverket och som administreras av IT- funktionen. För åtkomst till Office 365 krävs först en autentisering mot kommunens

(11)

Arvika kommun

10

licenser som nyttjas eftersom det finns en kostnad knuten till varje licens. Då det krävs ett användarkonto i AD för att komma åt molntjänster som Office 365 försvinner åtkomsten till tjänsten om AD-kontot inaktiveras. De filer som användaren lagrat i lagringstjänsten som tillhör Office 365 sparas i 30 dagar efter att användaren

inaktiverats, så att användarens närmsta chef har möjlighet att nå dem. Användarens epost försvinner normalt direkt i samband med att en behörighet avslutas, men i vissa fall finns behov av att en annan medarbetare ärver epostlådan, exempelvis om den hör till en specifik tjänst.

De riktlinjer för lösenord som finns för kommunens samtliga system och nätverk hanteras i riktlinjerna för IT-användning. Lösenord ska bestå av minst 10 tecken, innehålla en blandning av versaler, gemener, siffror och icke alfanumeriska tecken, bytas varje månad samt inte återanvändas. Ytterligare finns krav på att lösenord inte ska kunna kopplas till den specifika användarens person samt att lösenord inte ska finnas nedtecknade i anslutning till arbetsstationen.

Kommunen har en grundprincip kring att endast medarbetare i IT-driftteamet ska ha höga behörigheter i nätverk, servrar och databaser. Användare på IT-driftsavdelningen får personliga, specifika administratörskonton att använda för administration av

nätverk, servrar, databaser och system som IT-funktionen administrerar, sådan administration kan inte utföras på vanliga medarbetardatorer. Om konsulter behöver höga behörigheter för att utföra en tjänst läggs de upp i ett separat AD. Kommunen använder sig av en tjänst för tilldelning av tillfälliga höga behörigheter och lösenord för konsulter. När konsulter blir tilldelade tillfälliga behörigheter måste de autentisera sig via en tvåfaktorslösning som går via sms, vilket innebär att det finns en personlig koppling till samtliga konsulter. Riktlinjer för höga behörigheter i verksamhetssystemen sätts av respektive systemägare och systemförvaltare. Om en konsult behöver utföra arbete i ett verksamhetssystem måste en beställning komma från den specifika

verksamheten. IT-driftteamet ansvarar på begäran från verksamheten för att konsulter tillfälligt får den behörighet som krävs. All aktivitet som utförs av administratörskonton och konsulter som fått tillfällig behörighet loggas och gås igenom. Loggarna innehåller tidpunkter och vilka servrar och databaser som kontona varit inne i.

För att säkerställa att de användare som finns i nätverken är aktiva görs regelbundna kontroller för att identifiera användarkonton som inte varit aktiva på över en månad. Om inaktiva användarkonton identifieras görs en utredning huruvida konton ska finnas kvar eller inte, och om kontot inte längre behöver vara aktivt inaktiveras det. Eftersom det finns en kostnad kopplad till varje licens till de molntjänster som används inom kommunen upplever kommunen att de har en god kontroll över samtliga

användarkonton, inklusive vilka konton som har en högre behörighet. Det finns dock inga rutiner för att med periodicitet gå igenom samtliga användarkonton i syfte att säkerställa att samtliga behörigheter är korrekta. För åtkomst till kommunens

verksamhetssystem måste användaren ha ett AD-konto för att kunna logga in på sin dator. När AD-kontot inaktiveras kan användaren inte komma in i sin dator, men användarens konton i de olika verksamhetssystemen inaktiveras inte automatiskt i samband med att ett AD-konto inaktiveras. Det är istället upp till systemägare och systemförvaltare att säkerställa att samtliga användarkonton och behörigheter är

(12)

Arvika kommun

korrekta i respektive verksamhetssystem, även om användare inte kommer åt kontona utan sitt AD-konto.

3.3.1 Bedömning

Arvika kommun har etablerade rutiner för åtkomsthantering i de system som hanteras av IT-funktionen. För dessa system används ett ärendehanteringssystem för

dokumentation och spårbarhet av tilldelningar av behörigheter. Mycket av

administrationen sker dock i de olika verksamheterna då respektive systemägare och systemförvaltare ansvarar för administrationen av användare och behörigheter i sina verksamhetssystem och rutinerna ser lite olika ut för de olika systemen. Det saknas därmed enhetliga rutiner för användaradministration i kommunen. Det finns kontroller för att upptäcka inaktiva användarkonton i kommunens nätverk, men det finns däremot ingen rutin för att med periodicitet säkerställa att de behörigheter som satts på samtliga användarkonton är korrekta och ändamålsenliga i de olika systemen. Kommunens riktlinjer för hur lösenord ska utformas följer KPMGs praxis.

3.4 Informationssäkerhetskrav vid upphandling

Upphandlingar av IT-lösningar i kommunen följer inarbetade rutiner och det görs ingen skillnad på om det avser ett traditionellt verksamhetssystem eller en molntjänst. Vid upphandling används främst inarbetade rutiner i organisationen och det saknas standardiserade rutiner för upphandling av IT-lösningar. IT-policyn styr att samtliga IT- tjänster som används inom kommunen måste vara godkända av IT-funktionen och det är därmed sagt att IT-funktionen ska delta i alla upphandlingar av IT som görs inom kommunen. IT-funktionen arbetar kontinuerligt med att fånga upp vilka upphandlingar av IT som görs för att säkerställa att detta efterlevs. I de fall IT-funktionen inte själva har den kompetens som behövs för upphandlingen stöttar de verksamheten med att hitta en lämplig konsult.

I kommunens informationssäkerhetspolicy regleras att det ska ställas krav på

informationssäkerhet vid upphandling av IT-tjänster. I policyn regleras också att risk- och sårbarhetsanalyser ska genomföras i samband med upphandling av ett nytt verksamhetssystem. Beroende vad för typ av IT-lösningar som upphandlas och beroende på vilken leverantör det avser finns inarbetade rutiner för att utföra kontroller och riskanalyser i varierande omfattning för att säkerställa kraven.

Sedan några år tillbaka finns en samverkan kring upphandling av IT-lösningar mellan värmländska kommuner. Samverkan innebär att kommunerna delar råd och idéer sinsemellan och de upphandlar även IT-lösningar gemensamt. Syftet är att kunna dra fördelar och lärdomar av varandra samt att den regionala samverkan vid upphandlingar ger större resurser och stordriftsfördelar.

3.4.1 Bedömning

Kommunen genomför upphandlingar enligt inarbetade rutiner. Det saknas dock

(13)

Arvika kommun

12

kommunen inte heller en självklarhet att IT-funktionen alltid deltar i upphandlingar av IT-lösningar. Det finns inarbetade rutiner i kommunen avseende utförande av kontroller och riskanalyser av potentiella leverantörer av IT-tjänster. Det finns dock inte några standardiserade rutiner avseende upphandling av specifikt molntjänster för att säkerställa att krav på informationssäkerhet har tagits i beaktan.

3.5 Rutiner för backup och återläsning

Kommunen har dokumenterade rutiner för backup och test av återläsning av data.

Rutinerna specificerar hur backup ska ske, vilka servrar som ska kopieras till backup samt hur ofta test av återläsning ska genomföras. Rutinen specificerar att backuper för varje dygn ska sparas i 31 dagar och backuper för varje månad ska sparas i ett år.

Arvika kommuns grundprincip avseende drift och backup är att system ska vara tillförlitliga och redundanta. Att ha en stabil miljö med ett tillförlitligt nätverk och

servermiljö ser kommunen som väsentligt och att snabbt kunna återställa grundmiljön i händelse av en katastrof kan innebära att det kan gå snabbt att starta upp övriga system som körs i miljön.

Det finns en daglig rutin för att testa att återläsning av filer fungerar som tänkt, och test av återläsning av hela servermiljön genomförs månadsvis av både drift-teamet och av driftleverantören. Driftsleverantören gör månadsvis återläsningstester av databaserna och levererar därefter en rapport med analys av testet till IT-funktionen. Syftet med dessa tester är att försäkra sig om att det vid ett eventuellt avbrott är möjligt att återskapa data från en tidigare tidpunkt. Avseende molntjänster har kommunen inte specifikt krävt av någon leverantör att de med regelbundenhet ska genomföra

återläsningstester på hela miljön, utan kommunen förlitar sig på att data kan återläsas om behov uppstår då det finns inbyggda funktioner i tjänsterna som innebär att

administratörer har möjlighet att hämta data som av någon anledning förlorats.

Kommunens backuplösning innebär att backuper tas till två olika miljöer och därmed lagras dubbelt på två platser som är fysiskt segregerade. Backuper tas på daglig, månatlig och årlig basis. För att säkerställa att backup-rutinerna efterlevs finns ett backupschema som används vid varje backup. I backupschemat listas alla servrar som ska tas backup på, och kontinuerligt jämförs backupschemat med en lista över alla servrar som finns i kommunen för att säkerställa att alla servrar är med i

backupschemat och att samtliga servrar kopieras till backup.

Kommunen köper tillsammans med övriga kommuner i länet en tjänst för dokument- och ärendehantering avseende diarieförda handlingar. Tjänsten, inklusive

backuphantering av tjänsten, körs ifrån och drivs av Karlstad kommun som bemannat upp med förvaltare av tjänsten. Backup-lösningen för tjänsten innebär att all data speglas i realtid mellan två olika geografiska platser inom Karlstads kommun. Backup tas varje kväll för hela dygnet och sparas i 30 dagar. Det är möjligt att återställa data ett år bak i tiden. Vidare tas timvisa backuper på transaktionsloggar.

3.5.1 Bedömning

Det finns etablerade rutiner för backup av kommunens IT-miljö som säkerställer att data går att återställa upp till ett år bak i tiden. Backup av diarieförda handlingar ingår i

(14)

Arvika kommun

drifttjänsten som hanteras av Karlstad kommun. Driftleverantören genomför

kontinuerliga återläsningstester av filer, servrar och databaser i syfte att säkerställa att data kan återläsas i händelse av ett avbrott eller en katastrof.

3.6 Rutiner för katastrof- och incidenthantering

I kommunen finns en beredskapspärm som hela kommunen arbetar utifrån vid en katastrof. Beredskapspärmen lagras både fysiskt i kommunhuset och i den interna elektroniska lagringsmiljön lokalt. Det finns inga formella dokumenterade rutiner för hur kommunen arbetar med katastrofhantering specifikt avseende IT-miljön, då det saknas en dokumenterad avbrottsplan. Det finns heller inget dokumenterat avseende IT- funktionens roller och ansvar vid en sådan situation. Kommunen har dock inarbetade rutiner och känner sig trygg i att medarbetarna på IT-funktionen är väl intrimmade i sina arbetsuppgifter och vet hur de ska agera i en katastrofsituation. I händelse av en katastrof har IT-funktionen upprättat en prioritetsordning för uppstart av samtliga verksamhetssystem i kommunens IT-miljö. Utöver informationen i beredskapspärmen finns kontaktlistor med journummer och instruktioner över varje IT-miljö uppladdade i Teams som alla medarbetare kan nå även utanför kommunens nätverk. Kommunens informationsenhet ansvarar för att meddela om inträffade avbrott och katastrofer.

Beroende på omfattning och vilka som påverkas läggs meddelanden ut på kommunens intranät, externa hemsida, Facebook-sida eller via radio.

Det finns en dokumenterad processbeskrivning för hantering av incidenter i

kommunen. Processen reglerar att misstänkta incidenter ska utredas och vid varje fall ska risken för förlust av information bedömas. Kan en incident hänföras till driften delegeras den till driftsleverantören. Avseende personuppgiftsincidenter finns ett dataskyddsombud som ansvarar för personuppgiftshantering i kommunen. Det finns en dokumenterad rutin för incidenthantering som reglerar hur hantering av

personuppgiftsincidenter ska se ut. Rutinen inkluderar hantering av anmälan av inträffade personuppgiftsincidenter, hur kommunen ska arbeta med inträffade personuppgiftsincidenter samt information om eventuell rapportering till Integritetsskyddsmyndigheten.

Kommunen arbetar kontinuerligt med att undvika avbrott och driftstörningar. Den största delen av kommunens servrar körs i en virtuell miljö. Miljön är redundant med spegling mellan två miljöer för att säkerställa tillgänglighet. För att ytterligare öka tillgängligheten vid eventuella störningar så kan servrar temporärt startas upp direkt från backupmiljön, utan att ordinarie servermiljö är tillgänglig.

3.6.1 Bedömning

IT-funktionen arbetar fortlöpande med att säkerställa att kommunen har en stabil grund för sin IT-miljö. Flertalet åtgärder finns för att minimera risken för avbrott och

katastrofer samt för att minska effekten av eventuella inträffade sådana. KPMG noterar att kommunen upplever att det finns inarbetade rutiner att tillämpa om ett avbrott eller en katastrof skulle inträffa. Det saknas dock formella dokumenterade rutiner för

(15)

Arvika kommun

14

4 Slutsats och rekommendationer

KPMG kan genom granskningen fastställa att det finns vissa rutiner med bäring på IT- och informationssäkerhet implementerade i kommunen även om dessa inte alltid är standardiserade. Kommunen arbetar aktivt med de frågeställningar som rapporten försöker besvara men i vissa fall saknas formella dokumenterade rutiner och riktlinjer att använda sig av för att säkerställa ett enhetligt arbetssätt kopplat till frågeställningar avseende IT- och informationssäkerhet.

4.1 Iakttagelser och rekommendationer

Nedan följer de iakttagelser KPMG identifierat i granskningen. Iakttagelserna är sorterade efter inbördes ordning utifrån de punkter vi anser att kommunen behöver prioritera och åtgärda först. Under varje iakttagelse finns KPMGs rekommendationer på vilka förbättringar som kan utföras. Ytterligare har KPMG lagt till övriga

förbättringsområden där iakttagelserna inte anses vara lika kritiska.

4.1.1 Väsentliga iakttagelser

Följande iakttagelser anser KPMG vara mest kritiska. KPMG har för följande iakttagelser formulerat rekommendationer med vad vi anser vara lämpliga förbättringsåtgärder.

1. Dokumenterade rutiner saknas vid upphandlingar av molntjänster

- KPMG rekommenderar kommunen att stärka rutinerna kring inköp och upphandling genom att formalisera och standardisera riktlinjer för upphandlingar av verksamhetssystem inkluderat specifika frågeställningar som härleds från molntjänster. Ytterligare kan en checklista som tar hänsyn till ovan nämnda områden upprättas som en guide i syfte att säkerställa att samtliga viktiga aspekter vid upphandlingar av IT-tjänster tas i beaktande.

- KPMG rekommenderar kommunen att upprätta tydliga rutiner för hur kravställning ska se ut kring hur data och information i en molntjänst ska kunna återläsas vid eventuell förlust. Detta är extra viktigt avseende sekretessbelagd information, både ur ett intern och ett externt perspektiv.

- KPMG rekommenderar kommunen att rutinmässigt säkerställa att IT-funktionen deltar i upphandlingar avseende IT-tjänster för att inte riskera att upphandlingar genomförs som inte möter de krav som finns på informationssäkerhet, följer väsentliga lagkrav, samt passar in i systemfloran totalt.

2. Brist på utbildning inom informationssäkerhet för kommunanställda

- KPMG rekommenderar att kommunen implementerar en rutin för uppföljning av genomförande av de utbildningar inom informationssäkerhet som kommunen tillgängliggjort, i syfte att säkerställa att medarbetare får grundläggande utbildning i informationssäkerhet.

(16)

Arvika kommun

3. Avsaknad av avbrottsplan

- KPMG rekommenderar kommunen att säkerställa att en dokumenterad avbrottsplan tas fram i syfte att säkerställa arbetsgången, inklusive roller och ansvar, vid ett inträffat avbrott och därmed minska effekten av eventuella inträffade sådana.

4.1.2 Övriga förbättringsområden

KPMG har noterat följande ytterligare iakttagelser som kan utgöra förbättringsområden.

4 Rutiner för användaradministration

- KPMG rekommenderar kommunen att ta fram riktlinjer för åtkomstadministration och behörighetshantering i kommunens verksamhetssystem. Riktlinjerna kan användas av systemförvaltare i verksamheterna i syfte att åtkomstadministration ska skötas på ett mer enhetligt sätt i kommunen.

- KPMG rekommenderar kommunen att säkerställa att kontinuerlig kontroll av befintliga användares behörigheter utförs. Rutinen bör säkerställa att användare blir tilldelade korrekta behörigheter i verksamhetssystem på ett enhetligt sätt och blir borttagna i tid när de slutar eller av någon annan anledning inte längre behöver åtkomst.

(17)

Arvika kommun

16 Datum som ovan

KPMG AB

Louise Heed IT-revisor

Detta dokument har upprättats enbart för i dokumentet angiven uppdragsgivare och är baserat på det särskilda uppdrag som är avtalat mellan KPMG AB och uppdragsgivaren. KPMG AB tar inte ansvar för om andra än uppdragsgivaren använder dokumentet och informationen i dokumentet. Informationen i dokumentet kan bara garanteras vara aktuell vid tidpunkten för publicerandet av detta dokument. Huruvida detta dokument ska anses vara allmän handling hos mottagaren regleras i offentlighets- och sekretesslagen samt i tryckfrihetsförordningen.