ROS analyse IKT nettverk

Transkript

1 Referanse: RFK Versjon: 1.0 Dato: Ansvarlig: Øystein Hermansen ROS analyse nettverk Internett tilgang for VGS

2 Ledelsessammendrag Rogaland Fylkeskommune tilbyr Internett til alle videregående skoler i fylket. Løsningen som tilbys er basert på en felles plattform levert fra avdelingen ved sentraladministrasjonen (SENTRAL- ). Kvaliteten på tjenesten som tilbys skolene har, med unntaket av hendelsen i første kvartal 2013, vært stabil og av god kvalitet. SENTRAL- har designet, og drifter, en løsning som ikke står tilbake for det som tilbys av kommersielle aktører. Men analysen har avduket noen forhold som krever tiltak slik at fremtidig kvalitet holder tilstrekkelig nivå. Det er særlig 3 områder hvor det anbefales at Rogaland Fylkeskommune foretar endringer. 1) Ressurssituasjonen må bedres i SENTRAL-. Det er ikke tilstrekkelig kapasitet til å utføre alle oppgaver som en kan forvente og dette fører til en sårbar situasjon og økt risiko for nedetid på tjenesten. 2) Etablere avtaler mellom skolene og sentraladministrasjonen. Mangel på tjenesteavtaler (SLA) fører til avvik mellom forventninger ved skolene og leveransen fra SENTRAL-. 3) Avklare ansvarsforhold vedrørende nettverk og kommunikasjonsutstyr ved den enkelte skole. Utstyret ved de enkelte skolene tilhører skolen, men i de fleste tilfeller har ikke skolene tilstrekkelig kompetanse for forsvarlig drift og vedlikehold. Disse tiltakene vil bidra til å profesjonalisere forholdet mellom SENTRAL- og den enkelte skole, redusere risiko og øke sikkerheten. ROS analyse nettverk Side 2 av 32

3 Innhold Ledelsessammendrag Innledning Metodikk Gjennomføring og kontaktpersoner Prosjektdeltakere Definisjoner Mål og objekt beskrivelse Definisjoner for analysen Fase 1 identifisere og beskrive analyseobjektet Systemer, grensesnitt og kritikalitet Organisasjon, ansvarsforhold og kompetanse SENTRAL Lokal organisasjon på den enkelte skolen Utfordringer i forbindelse med ansvarsområde på den enkelte skole Sikkerhetsbarrierer og tilgangskontroll Sikkerhetsbarrierer Tilgangskontroll til tjenester og lokaliteter Rutiner Informasjonsflyt Brukeropplevd kvalitet Definerte kriterier som grunnlag for prioritering Fase 2 identifisere og analysere risiko Infrastruktur Sentral infrastruktur i administrasjon Lokal infrastruktur på den enkelte skole Sikkerhet mot uautorisert tilgang Kompetanse Informasjonsflyt Brukeropplevd kvalitet Organisering og ansvarsforhold Fase 3 foreslå og prioritere tiltak Infrastruktur Sentral Infrastruktur i administrasjon Lokal infrastruktur på den enkelte skole Sikkerhet mot uautorisert adgang Kompetanse Informasjonsflyt Brukeropplevd kvalitet ROS analyse nettverk Side 3 av 32

4 5.6 Organisering og ansvarsforhold Oppsummering av tiltak og prioritering Ord og forkortelser ROS analyse nettverk Side 4 av 32

5 1 Innledning Opplæringsutvalget i Rogaland fylkeskommune har vedtatt følgende: "Opplæringsutvalget vil uttrykke at det er fullstendig uakseptabelt at skolene har hatt/har et ustabilt nett, som går ut over undervisningen. Rådmannen bes utføre en ROS- analyse ved hjelp av eksternt konsulentselskap med spesialkompetanse på." Bouvet ble, i konkurranse med flere andre selskaper, valgt som leverandør av analysen. Rapporten ble utarbeidet i september og oktober Analysen har som formål å avdekke eventuelle svakheter og sårbarheter som kan føre til avbrudd i tilgang til nettet ved de videregående skoler i RFK. Både lærere og elever er avhengig av god og avbruddsfri tilgang til Internett fra skolene. Det benyttes mange eksterne tjenester, som for eksempel digitale læremidler, og dersom disse ikke kan benyttes fra skolene vil det kunne føre til avbrudd i blant annet opplæring og undervisning. Rapporten har særlig fokus på områdene beskrevet i konkurransegrunnlaget fra RFK. 1) Infrastruktur kabler (internt/eksternt), kapasitet, aksessgrad (hvordan er dekningen?) 2) Sikkerhet hvor sikker er vår løsning mot inntrengning internt og eksternt? 3) Kompetanse Har vi rett kompetanse? Den er varierende ute på skolene. 4) Opplevd oppetid Vi har vilkår fra eksterne leverandører. Alt dette til sammen gir en opplevd oppetid til sluttbrukerne. 5) Informasjon Mye av kritikken går på at brukerne ikke får info om hva som skjer. Har vi rette kanaler for å nå frem? 6) Organisering og ansvarsforhold sentralt leverer og drifter hovedswitch og server med basis tjenester til hver skole. Vi har ansvaret for segmentering av nett og tjenester tilhørende administrasjon, lærere og elev- løsning. Skolene har selv ansvar for å bygge ut infrastruktur lokalt som dekker behovet for kablet og trådløs løsning for lærere og elever. Dette inkluderer også innkjøp av annet utstyr som pc, aksesspunkt med mer. ROS analyse nettverk Side 5 av 32

6 2 Metodikk En ROS analyse skal fungere som en funksjonell beskrivelse og presentasjon av et risikobilde for en eller flere uønskede hendelser. Formålet er å identifisere svake sider ved en organisasjon eller ved teknologien som er benyttet, for å løse et eller flere mål ved en bedrift. ROS analysen er gjennomført etter standard beskrevet i NS/ISO Denne standarden er anbefalt benyttet av Difi, og beskriver hvordan en ROS analyse bør gjennomføres og hva den skal inneholde. Risiko handler om fremtiden. Vil systemene fungere slik de skal til enhver tid, eller er det fare for at alt eller deler av infrastrukturen faller ut? Er våre systemer åpne for angrep fra innsiden eller utsiden? Er kompetanse og organisering optimal for sikker drift? Risiko kan deles inn i to hovedkomponenter. 1) Hvilke hendelser kan oppstå og hva blir konsekvensen 2) Sannsynlighet for at hendelsen kan oppstå Disse to hovedkomponentene er det som til sammen utgjør en risiko. For å uttrykke en usikkerhet om en uønsket hendelse og dens konsekvens, benyttes sannsynligheter. En sannsynlighet er en måte å uttrykke usikkerheten på, eller for trolig det er at en bestemt hendelse skal oppstå. De overordnede trinnene ved en ROS analyse kan beskrives som vist i tabellen under. Bekskrivelse av analyseobjektet Hva skal analyseres? Avdekke avhengighetsforhold? Iden3fisering av uønskede hendelser Avdekke årsaker Sannsynlighet for hendelsen oppstår Konsekvenser Beskrivelse av risiko Presentasjon av risikobildet ROS analyse nettverk Side 6 av 32

7 2.1 Gjennomføring og kontaktpersoner Prosjektet gjennomføres i henhold til ISO standarden for risiko og sårbarhetsanalyser. Denne standarden er også anbefalt benyttet fra Difi Norge. ISO standarden er stor og omfattende, og er ikke bare laget for prosjekter. En har derfor benyttet denne som en veiledning og retningsstor for gjennomføring av prosjektet, samtidig som en bare har benyttet de elementene som er relevante for en analyse av denne størrelsen Prosjektdeltakere Fra leverandør (Bouvet). Navn Ansatt Rolle Øystein Hermansen Bouvet Prosjektleder og forfatter av analysen Carl Fredrik Wendt Bouvet Business Unit Manager Fra RKF administrasjon. Navn Ansatt Rolle Odd Bård Risvoll RKF og arkivsjef Atle Inge Andersen RFK kommunikasjon og sikkerhet (innleid) Frode Haavik RFK drift fagleder Trygve Soland RFK Bygg og eiendom ingeniør Bjørn Olav Vorland RFK Rådgiver anskaffelser Joar Loland RFK Fylkesdirektør opplæring Randi Hummervoll RFK Seksjonssjef, seksjon opplæring i skole Tore Wersland RFK Rådgiver seksjon opplæring i skole Torill Evy Thune RFK Rådgiver seksjon opplæring i skole Linda Haugland RFK tjeneste - fagleder Fra videregående skoler. Navn Skole Stillingsprosent Rolle IT Roy Olav Høynes Bryne 80% - Pedagog Sindre Nedrebø Bryne 100% - Teknikker Eirik Tjøtta Bryne - Elevrepresentant Leif Harboe Bryne - Lærer Juliane Smith Wergeland Bryne - Administrasjon Njål Oftedal Jacobsen St. Svithun 50% - Teknikker/- Pedagog Ine Garborg Hebnes St. Svithun - Elevrepresentant Dag Drange Mossige St. Svithun - Lærer Tone Austad Haaland St. Svithun - Administrasjon Gjert Meling Randaberg 40% - Pedagog Stian Johansen Randaberg 100% - Teknikker Sigbjørn Sakseid Randaberg - Elevrepresentant Mary- Ann Drange Randaberg - Administrasjon ROS analyse nettverk Side 7 av 32

8 Tor Egil Hoftun Kvæstad Sauda 80% - Pedagog Michael Willig Sauda 50% - Teknikker Oda Vaage Sauda - Elevrepresentant Sindre Nordengen Sauda - Lærer Oskar Waage- Pettersen Sauda - Administrasjon Roald Hauge Karmsund 100% - Pedagog Reidar Lilleboth Karmsund 100% - Teknikker Sebastian Land Karmsund - Elevrepresentant Ståle Østrem Karmsund - Lærer Ragnhild Bjervik Karmsund - Administrasjon Det er gjennomført intervjurunder med 5 involverte skoler (ref. tabell over) i tillegg til intervjurunder og gjennomgang med Opplæringsseksjonen ved RFK, SENTRAL- (drift, leder og tjeneste) og Bygg og Eiendom. Arbeidet med rapporten startet med oppstartsmøte 19/9/2013, QA med prosjektledetakere fra RFK administrasjon 21/10 og endelig rapport ble levert 25/10/ Definisjoner Mål og objekt beskrivelse Formålet med analysen er å avdekke svakheter som kan føre til brudd eller ustabilitet i tilgang mot Internett fra videregående skoler. Mål og primær objekter er definert på denne bakgrunn. Definisjon ble gjort i plenum i arbeidsgruppen oppstartsmøte 19/9/2013. Sekundobjekter er blitt definert i de enkelte intervjurundene som er utført av prosjektleder. Mål (hva ønsker RFK å oppnå): Å tilby stabil tilgang til Internett og interne tjenester som tilbys via nettet, til ansatte og elever, ved videregående skoler i Rogaland. Primær objekt (hvilken eiendel må fungere korrekt for at målet skal oppnås): Nettverket ved den enkelte skole og sentrale systemer som benyttes for administrasjon, tilgangskontroll og drift av dette. Sekundær objekter (utstyr, informasjon, rutiner, organisering, etc. må være til stede for at primær objekt skal fungere korrekt): Objekt Lokalt på skolen Sentralt ved Utfyllende beskrivelse Utstyr Brannmurer Hoved sikkerhetsbarrieren mellom Internett og RFK Rutere Enhet som styrer trafikk på nettverket Switcher Enhet som benyttes for å koble sammen flere fysiske element i et nettverk Servere Server på skolene benyttes for lokal DNS, DHCP og lagring. Det blir ikke tatt backup av server. DFS benyttes for replikering av brukerdata mot sentral server. ROS analyse nettverk Side 8 av 32

9 Brukerdatabase Database om inneholder informasjon brukere Tilkobling mot Internett Tilkobling mot skolene Tilkobling mot sentral Datarom Datarom på skolene har mer form av et teknisk rom, enten dedikert til utstyr eller et rom som deles mellom flere typer teknisk utstyr. Kabling Kabling mellom enhetene som benyttes for kommunikasjon i nettverket Kompetanse Nødvendig kompetanse for drift Planlagt opplæring for å tilegne seg nødvendig kompetanse Sentral eller lokalt kompetanse nødvendig for å dekke behov for drift, vedlikehold og oppgradering av utstyr Planlagt opplæring for å dekke behov for kompetanse Brukerstøtte Klart ansvarsområde Avklaring om den enkelte enhet vet som skal dekkes av dem selv, om de kan tilby det, og hva eventuelt som dekkes av andre Grensesnitt mot skoler/ Avtale om hva som gjøres lokalt og hva som gjøres sentralt Sikkerhetstjenester Backup Sikkerhetskopi Tilgangskontroll Bruker eller enhet (PC) må være godkjent og autentisert før tilgang blir gitt Trafikk- kontroll Kontroll av trafikk på nettverket Trafikk- styring Styring av trafikk på nettverket. Benyttes ofte for prioritering av trafikk Bruker autentisering Bruker må logge seg på nettverk eller system før det kan benyttes. Rutiner og prosedyrer Sikkerhetskopiering Kopi av data for å ha en sikkerhetskopi Kontroll av sikkerhetskopiering Kontroll for sjekke at kopi av data forløp uten feil Tilbakelegging av Kopiere data fra sikkerhetskopi til opprinnelig kilde sikkerhetskopi Uautorisert aksess fra utsiden Brukere fra Internett får ikke- autorisert tilgang til system Uautorisert aksess fra innsiden Brukere fra innsiden, på et RFK nettverk eller ved en skole, får ikke- autorisert tilgang til system Fjerning av sårbarheter Oppdatere programvare på en enhet eller PC med formål å fjerne feil i programvare eller operativ som kan misbrukes for å gi brukere uautorisert tilgang Varsling ved tjenesteavbrudd Prosedyre for å varsel ved brudd i tilgang til en tjeneste Endringskontroll Prosedyre før endringer i nettverket gjennomføres Ansvarsområde Er den enkelte person sitt ansvar bevisst Avklaring angående om rutiner, ansvarsområde, oppgaver, etc. er kjent for personen det gjelder Er den enkelte enhet sitt ansvar bevisst Avklaring angående om rutiner, ansvarsområde, oppgaver, etc. er kjent for enhet det gjelder Matrise utstyr/ansvar Avklare hvem som er ansvarlig for hvilket utstyr Definisjoner for analysen Det er benyttet en 3x3 matrise for sannsynlighet og konsekvens, ref. tabeller under. Dette er mindre enn det som er anbefalt i standarden, men vil dekke de behov som trengs i denne ROS analysen. I tillegg er det samme type matrise som er benyttet i dokumentet Overordnet ROS- analyse for Rogaland Fylkeskommune, datert januar Dette gjør det enklere å foreta koblinger mellom analysene. ROS analyse nettverk Side 9 av 32

10 Klassifisering av sannsynlighet for den enkelte hendelse Sannsynlighetstall Sannsynlighet Beskrivelse 3 Stor Har inntruffet flere ganger 2 Middels Har inntruffet en (1) gang eller det er tenkelig at det kan skje 1 Liten Har ikke inntruffet Klassifisering av konsekvens Konsekvenstall 3 Kritisk 2 Betydelig 1 Ubetydelig Beskrivelse Driftsstans > En arbeidsdag (8 timer) Tjenesten helt eller delvis redusert over et lengre tidsrom. Driftsstans > 3 timer < 8 timer Tjenesten helt eller delvis redusert over et kortere tidsrom. Driftsstans > 0 timer < 3 timer Kvalitetsforringelse på tjenesten. Korte brudd på tjenesten over et begrenset tidsrom. Risikomatrise for beregning av risiko (risiko = sannsynlighet x konsekvens) Sannsynlighet Stor 3x1 3x2 3x3 Middels 2x1 3x1 2x3 Liten 1x1 1x2 1x3 Ubetydelig Betydelig Kritisk Konsekvens De enkelte risikokategoriene er videre definert med følgende akseptansekriterier. Høy til kritisk risiko. Nye risikoreduserende tiltak er påkrevd og må iverksettes umiddelbart. Moderat til høy risiko. Nye risikoreduserende tiltak må iverksettes men implementasjon kan vurderes ut fra økonomisk situasjon Lav til moderat risiko. Akseptabelt å fortsette uten ytterligere tiltak, men åpenbare risikoreduserende tiltak bør vurderes. ROS analyse nettverk Side 10 av 32

11 3 Fase 1 identifisere og beskrive analyseobjektet Mål og objekter som definert og beskrevet i kapittel ( Mål og objekt beskrivelse ). 3.1 Systemer, grensesnitt og kritikalitet System (sekundobjekter) CheckPoint brannmur Type system *) Server Allot AC Nettverk SENTRAL- Cisco Skole ACL Nettverk SENTRAL- Cisco 65xx hovedswitch Nettverk Lokalitet Kritikalitet Grensesnitt mot andre objekter Utfyllende beskrivelse SENTRAL- Kritisk Nexus switcher Sentral brannmur som benyttes av hele RFK. Fungerer som ytre brannmur i RFK sin sikkerhetsarkitektur. Kritisk Cisco 65xx Enhet for trafikkstyring fra skoler mot hovedswitch Internett (båndbreddekontroll) SENTRAL- Kritisk Kritisk Cisco 650xx hovedswitch Nexus switcher Allot AC Cisco Skole ACL TDC MPLS nett RFK Blade serversystem Enhet for kontroll av hva elevnett skal ha tilgang til (brannmur funksjonalitet). Benyttes istedenfor sentral brannmur for å avlaste denne. Dedikert elevnett ved skolene. Hovedswitch som benyttes for ruting av trafikk ved RFK, ut mot Internett og mot skolene. Enheten er bygget opp med redundante moduler og skal i prinsippet aldri kunne feile. TDC MPLS nett RFK Nettverk SENTRAL- Blade serversystem Server SENTRAL- Nexus switcher Nettverk SENTRAL- Cisco ACS Virtuell SENTRAL- Kritisk Kritisk Kritisk Kritisk Cisco 65xx hovedswitch Nexus switcher Cisco 65xx hovedswitch Cisco 65xx hovedswitch CheckPoint brannmur Blade serversystem Cisco 4400 Microsoft AD TDC leverer et MPLS basert nett som benyttes av hele RFK. SENTRAL- og skolene er alle koblet i samme mesh og basert på dette kan alle snakke med alle. Denne forbindelsen benyttes også mot Internett. RFK har en 10 Gbps forbindelse mot dette, mens skolene har en 1 Gbps forbindelse mot samme nett. Serversystem som benyttes for flere virtualisering av servere. Serverswitcher. Benyttes for såkalt lag 2 switching mellom sentrale systemer som krever høy båndbredde og redundans. Virtuell server. Benyttes for autentisering av alle brukere på trådløse nett, både elever og ansatte. Cisco Prime Virtuell SENTRAL- Microsoft AD Virtuell SENTRAL- Betydelig Blade serversystem Alle Cisco enheter Virtuell server. Benyttes for administrasjon av lokal kontrollere (Cisco 4400/5508) for trådløse nett samt Cisco switcher ved RFK. Kritisk Cisco ACS Virtuell og fysiske servere. Inneholder alle brukerobjekter ved RFK. TDC MPLS nett skole Nettverk Skole Kritisk Cisco L3 skole Lokal tilkobling (på den enkelte skole) mot TDC MPLS baserte nett. Inneholder også tilgang mot Internett gjennom sentral brannmur ved RKF. Cisco L3 Skole Nettverk Skole Kritisk TDC MLPS nett skole Cisco WLAN kontr. Skole- server Skole- switcher Lokal ruter og switch på den enkelte skole. Ansvarlig for ruting av trafikk mellom elevnett, Internett og sentrale/lokale systemer som elever skal ha tilgang til. Cisco WLAN kontr. Nettverk Skole Kritisk Cisco L3 skole Kontroller for trådløst nettverk på skolene. ROS analyse nettverk Side 11 av 32

12 Aksesspunkter for det trådløse nettverket er helt avhengig av denne enheten. Skole- server Server Skole Betydelig Cisco L3 skole Lokal server på den enkelte skole som er ansvarlig for tildeling av IP adresser (DHCP), navneoppslag (DNS) og lokal lagring (filserver). Skole- switcher Nettverk Skole Kritisk Cisco L3 skole Skole- kabling Lokal switcher ved den enkelte skole, kalles også for etasjefordeler. Kablet nett, og trådløse aksesspunkter, er koblet til disse switchene. SENTRAL- har anbefalinger med henblikk på hvilke switcher som skal benyttes (type Cisco 29xx), men det skolene kan benytte andre typer og fabrikanter dersom de ønsker dette. Skole- kabling Nettverk Skole Kritisk Skole- switcher Datakabling på den enkelte skole. Kabel som benyttes mellom aksesspunkter og skole- switcher, eller mellom koblingspunkt (typisk i vegg) og skole- switch. Dersom denne er av for dårlig kvalitet vil det påvirke stabilitet og ytelse i nettverket. *) Type system. Teknisk beskrivelse av den enkelte enhet Server: Fysisk maskinvare med et generelt operativsystem og programvare for å dekke ett eller flere formål Nettverk: Fysisk maskinvare med et spesialskrevet operativsystem og programvare hvis formål er å kontrollere og styre trafikk i et datanettverk Virtuell: Virtuell maskinvare med et generelt operativsystem og programvare for å dekke ett eller flere formål. 3.2 Organisasjon, ansvarsforhold og kompetanse SENTRAL- Sentral drift av alle sentrale systemer er organisert i avdelingen - og arkivseksjon som er ledet av Odd Bård Risvoll. Denne avdelingen er videre delt inn i 3 enheter (ref. bilde under). ROS analyse nettverk Side 12 av 32

13 Operativ drift av systemene ligger under Drift. Det er totalt 8 ansatte, samt en fast innleid konsulent, ved - Drift. I tillegg har de bistand fra - lærlinger (for tiden 3 stykk). Ansatte i - Drift har dedikerte arbeidsoppgaver som er tildelt i samråd med fagleder. Kompetansen er tilstrekkelig, men på grunn av få antall ansatte og et stort område som skal dekkes, er det lite til ingen overlappende kompetanse. Dette gjør at det vil være problematisk og flytte arbeidsoppgaver mellom personer. Det gjør og at avdelingen er sårbar dersom en eller flere personer blir borte over lengre tid. Det er en håndfull personer som kan anses som veldig kritiske og ikke kan mistes. Dette er personer med inngående dybdeinnsikt i systemene og som kan foreta avansert feilsøking og gjenoppretting ved behov. Avdelingen har selv lite kompetanse på nettverk og har derfor en person innleid for dette formålet. Kompetanseheving (kurs og opplæring) skjer ved behov. Det anses at avdelingen har tilstrekkelig kompetanse for å drifte dagens løsning, men denne sitter på kun et fåtall personer. SENTRAL- har ansvar for alt sentralt utstyr. Dette inkluderer alle servere, PC- er og nettverk som benyttes ved RFK. Det omfatter i tillegg utstyr ved skolene som er nødvendig for administrasjon, men ikke utstyr som benyttes av/for elever og lærere (pedagogisk). Skolen er selv ansvarlig for utstyr for dette formål, men det er en del uklare momenter angående utstyr som benyttes både for administrative og pedagogiske formål. Det er uklart hvem som innehar rollene CTO og CSO (Chief Technology/Security Offiser). CTO og CSO er viktige roller i en bedrift på størrelse med RFK, og burde derfor vært klarere definert enn de er i dag Lokal organisasjon på den enkelte skolen I RFK er det definert to roller som skal benyttes ved den enkelte skole. Disse er - Teknikker VGS og - Pedagog. I tillegg benyttes SENTRAL- for noen oppgaver. Deres ansvarsområde er beskrevet i tabellen under. Oppgave Se sammenheng mellom drift av alle - systemene under ett. Dekke de driftsmessige behov som skolen har mht. på pedagogiske, administrative, EDB tekniske og strategiske området. Hovedansvar ligger hos - leder i samarbeid med skolen rektor. Sørge for at alt - utstyr, tilhørende skolen, til enhver tid er i orden og fungerer tilfredsstillende. Dette inkluderer førstelinjers vedlikehold samt reparasjon og utskifting av standard komponenter. Eksempel på utstyr er PC- er, skrivere, projektorer, skannere, videokonferanseutstyr, etc. Inn/ut registrering av utstyr i Sats samt oppfølging av garantisaker mot leverandør. Sørge for tilrettelegging og utplassering/utskifting av maskinparken ved behov Periodiske kontroller av alt utstyr for å sikre kontinuitet Installere, vedlikeholde og oppgradere komponenter i - systemet (utstyr og programvare) Sørge for at all programvare som er i bruk på skolen fungerer tilfredstilene, og melde inn feil - seksjonen ved behov (førstelinje gjøres ved skolen) Brukeradministrasjon Sette opp og drifte skolens - baserte kommunikasjonssystemer - Teknikker VGS - Pedagog VGS SENTRAL- Sørge for at alt utstyr ved skoler er dokumentert (type, plassering, etc.) I samarbeid med - avdelingen sørge for gode rutiner for sikkerhetskopiering, samt gjennomføring av disse. Sørge for at driftskritisk utstyr er avlåst med fysisk tilgangskontroll Sørge for at skolen er i stand til å kontrollere hvem som til enhver tid har tilgang, ROS analyse nettverk Side 13 av 32

14 eller har hatt tilgang, til - systemene. Sørge for kontinuerlig overvåking av skolens - anlegg mht. viruskontroller Inneha veiledningsroller i bruk av utstyr og programvare Være skolens ressursperson i forbindelse med innkjøp av utstyr og programvare Være rådgiver for skolens ledelse ved utvikling og revisjon av skolens - strategier og planer Holde seg oppdatert på den faglige utviklingen av - området innenfor relevante områder Drive - opplæring av ansatte og elever Videreformidle informasjon (kurs, litteratur, programvare, ++) for - faglærere Inneha ansvar for kontakt med IT- avdelingen og Opplæringsavdelingen ved RFK, samt kontakt med eksterne samarbeidspartnere innenfor området. Inneha budsjettansvar og disponere deler av skolen økonomiske ressurser på området. Kostnader som den enkelte skole har for - Teknikker VGS dekkes delvis av Opplæringsavdelingen ved RFK. - Teknikker VGS er normalt plassert under skolens administrative ledelse og rapporterer direkte til denne. Ved noen skoler er det inngått et samarbeid med SENTRAL- som gjør at - Teknikker VGS hospiterer ved SENTRAL-. Hospiteringen kan være av fast eller variabel karakter, og formålet er å øke kompetansen til - Teknikker VGS samt sørge for at SENTRAL- får mer kunnskap om skolenes reelle behov og utfordringer. - Teknikker VGS skal ha kvalifikasjoner tilsvarende Fagbrev eller høyere. Dette var oppfylt ved 4 av de 5 skolene som var med i undersøkelsen (ikke oppfylt ved St. Svithun) Utfordringer i forbindelse med ansvarsområde på den enkelte skole Hver skole er å betrakte som en egen selvstendig enhet, og har ingen økonomiske koblinger mot SENTRAL-. Skolen skal, per definisjon, være selvhjulpen. Tabellen i viser at SENTRAL- ansvarlig eller delansvarlig for noen oppgaver ved skolen. Det som SENTRAL- er eneansvarlig for er: Sette opp og drifte skolens - baserte kommunikasjonssystemer Sørge for kontinuerlig overvåking av skolens - anlegg mht. Viruskontroller Det første området, Sette opp og drifte skolens - baserte kommunikasjonssystemer er åpent for tolking. Det vil være vanskelig for SENTRAL- og ha ansvar for utstyr som de selv ikke eier. Det er skolene som er ansvarlig, og som eier, utstyret de har installert. Dette gjelder også alt utstyr som brukes til kommunikasjon. Unntaket er lokalt utstyr plassert ved skolen av linjeleverandør (i dette tilfelle TDC), da dette er utstyr som TDC har ansvar for. Videre så er det ikke definert hva som ligger i begrepet kommunikasjonssystemer. Er det ruter plassert ved skolen som benyttes for å gi elever, lærere og administrasjon tilgang til tjenester de har behov for, eller inkluderer det switcher, kabling og trådløst nett installert på skolen? Det andre området, Sørge for kontinuerlig overvåking av skolens - anlegg mht. Viruskontroller er ikke mulig for SENTRAL- å oppfylle slik som benyttes i dag. Det er ikke definert hva som ligger i skolens - anlegg. Dersom det er utstyr som benyttes ved skolens administrasjon er dette en oppgave som både kan løses, og som blir løst, av SENTRAL-. Men dersom en inkluderer elevenes egne PC- er, så er dette noe som ikke kan løses av SENTRAL-. Med unntak av at både SENTRAL-, og den enkelte videregående skole, har samme eier (RFK) så er det ingen andre forbindelser mellom sentral avdeling og skolen. Den sentrale avdelingen kan sees på som en tjenestetilbyder (ISP) og skolen som en kunde. Forventninger (det som skolen ROS analyse nettverk Side 14 av 32

15 forventer fra SENTRAL- ) og leveranser (det som SENTRAL- skal levere til skolene) burde vært beskrevet i en SLA avtale (Service Level Agreement). Mangel på slike avtaler mellom den enkelte skole og SENTRAL- vil, i mange tilfeller, føre til at skolen føler den får en mindre god tjeneste samt at SENTRAL- ikke alltid føler seg sikker på hva de skal levere og hvor deres ansvar slutter. 3.3 Sikkerhetsbarrierer og tilgangskontroll Sikkerhetsbarrierer - En sikkerhetsbarreiere har som formål å hindre uønsket tilgang eller trafikk. Ved RFK er disse lokalisert både lokalt på den enkelte skole samt sentralt ved SENTRAL-. Lokalisert Type barriere Formål SENTRAL- (sentralt) Brannmur Kontroll av all inngående og utgående trafikk mellom RFK (alle lokasjoner inklusive skolene). Skal stoppe uønsket trafikk fra Internett mot RFK. Brannmuren inneholder moduler for IDS og AntiBot (bot- nett) samt utvidet logg korrelater. SENTRAL- (sentralt) Ruter med aksesslister Trafikk- filter dedikert til elevnettet til skolene. Filteret benyttes slik at bare godkjente applikasjonsprotokoller kan benyttes i nettverket (per dags dato betyr det kun WEB trafikk basert på http og https). Denne funksjonen kunne vårt utført av brannmuren, men dagens brannmur er ikke dimensjonert for dette. Denne funksjonen er derfor flyttet til egen dedikert enhet. Det er nødvendig å filtrere trafikk fra elevnettet for å sikre tilstrekkelig kvalitet og for å hindre misbruk av nettverket. Skolen Ruter med aksesslister Elevnettverket ved den enkelte skole skal være helt isolert fra RFKs interne nettverk, men de har behov for tilgang til noen lokale fellesressurser på den enkelte skole. Dette er ressurser som filserver, skrivere, DNS/DHCP og tilsvarende. Hele RFK, inklusive alle videregående skoler, benytter samme tilgang mot Internett. Kontroll av kommunikasjon, til og fra Internett, utføres av en brannmur basert på teknologi fra CheckPoint. Brannmuren som benyttes har følgende sikkerhetsmoduler. Modul Firewall IDS Tracker SmartEvent Antibot Funksjon Kontrollerer og åpner for trafikk basert på regelsett. Kommunikasjon som, per definisjon ikke er tillatt, blir stoppet. Intrusion Detection System. Modul for automatisk å stoppe forsøk på datainnbrudd. Denne er primært beregnet på å stoppe trafikk fra Internett mot RFK, men fungerer også andre veien. Dersom en enhet på innsiden av RFK sitt nettverk forsøker på datainnbrudd mot soner enheten ikke skal nå, vil modulen oppdage dette. Logg modul. Logger hendelser basert på regelsett. Logg korrelater. Analyser logg (fra Tracker modul) og setter hendelser i system. Modulen gjør det mye enklere for driftspersonell å oppdage datainnbrudd og uønskede hendelser i nettverket. Antibot er en utvidet IDS modul hvor formål er å oppdage, identifisere og stoppe bot- nett. Bot- nett er en av de mest vanlige, og minst ønskelige, av alle dataangrep i dag. Alle PC- er i RFK, også elev PC- er, har det som kalles en Public IP (Public IP betyr at IP adressen er rutbar på Internett og ikke bare intern for bedriften). Bruk av Public IP adressen gjør det enkelt for SENTRAL- å identifisere enheter, og bruker av enheten, dersom det oppdages uønskede hendelser på innsiden av nettverk. Trafikk fra nettverket som benyttes for elever på skolene er filtrert før det når brannmuren. Det er bare tillatt med WEB basert trafikk (http og https). All annen trafikk blir stoppet av egen ruter med ROS analyse nettverk Side 15 av 32

16 aksesslister. Denne funksjonen kunne vært utført av brannmuren, men er flyttet ut av kapasitetshensyn. Sikkerhetsmessig er nettverkene ved den enkelte skole designet slik at de skal tilfredsstille bruk av BYOD enheter. BYOD stiller større krav til sentral sikring og design av systemene fordi SENTRAL- ikke har noen kontroll over disse enhetene. Ved RFK er dette løst ved at elevnettet ved den enkelte skole ikke kan kommunisere med andre elevnett ved andre skoler, samt at hver trådløst klient (bærbar PC) er logisk isolert fra andre trådløse klienter. Det gjør det meget vanskelig for ondsinnet programvare (såkalt virus eller malware) å spre seg mellom PC- er i elevnettet Tilgangskontroll til tjenester og lokaliteter Det er forskjellig tilgangskontroll, avhengig av hva som skal beskyttes. Fysisk kontroll er styrt av nøkkelkort eller nøkler mens logisk kontroll er basert på brukernavn og passord. Lokalisert Type Tilgang til Formål SENTRAL- Fysisk Datarom Sentralt IT utstyr ved RKF er lokalisert i eget datarom. Datarommet er avlåst. Bare adgang for autorisert personell. SENTRAL- Fysisk Kjøleanlegg Kjøleanlegg for anlegget ved RFK. Lokalisert i dedikerte rom og er avlåst. Bare adgang for autorisert personell. SENTRAL- Fysisk Dieselaggregat Nødstrømanlegg for systemene ved RFK. Lokalisert i dedikert rom og er avlåst. Bare adgang for autorisert personell. SENTRAL- Logisk Sikkerhetsbarrierer Brannmur og rutere som benyttes av RFK og elevnettverk. Utstyret er fysisk lokalisert i datarom. Logisk tilgang for administrasjon av systemene er basert på brukernavn og passord. Det benyttes en felles brukerkonto for dette formål, og denne konto (med passord) er kjent for 3 personer i avdelingen. All inn- og utlogging mot denne kontoen blir logget. Skolene Fysisk Tekniske rom Lokalt utstyr, som switcher og servere, er normalt plassert i tekniske rom. Disse er avlåst med nøkler. Det er tilfeller hvor personell, som ikke har behov for tilgang til lokalt utstyr, har tilgang til rommene. Skolene Logisk Trådløst nettverk Det er ikke mulig for en 3. part å koble seg opp mot nettverkene uten å ha et brukernavn og passord. Både lærere og elever ved skolene må være definert i katalogtjenesten til RFK for å kunne bruke nettverket. 3.4 Rutiner Aktive rutiner av betydning for mål og objekter i denne analysen. Lokalisert Navn Formål SENTRAL- Backup brannmur Backup av konfigurasjon til brannmur. SENTRAL- Gjenopprett brannmur Dersom brannmur feiler, og det skyldes feil ved maskinvare, må rutinen for ny installasjon av brannmur og tilbake- kopiering av konfigurasjon, følges. SENTRAL- Backup konfigurasjon nettverk Backup av konfigurasjon for Cisco nettverksutstyr lokalisert sentralt ved SENTRAL-. SENTRAL- SENTRAL- SENTRAL- Bypass Cisco Skole ACL Bypass Allot AC Gjenopprett skole- server Dersom Cisco Skole ACL feiler, vil en foreta en bypass av denne i ruting av nettverkstrafikk. Dette vil føre til at elevnettverket ved skolene får full tilgang ut mot Internett, og trafikken blir ikke filtrert som ved normal drift. Dersom Allot AC feiler, vil en foreta en bypass av denne i ruting av nettverkstrafikk. Dette vil føre til at elevnettverket ved skolene får full tilgang ut mot Internett, og trafikken ikke blir prioritert som ved normal drift. Dersom det oppstår en feilsituasjon på lokal skole- server blir ny server installert. Ved programvarefeil: Server blir re- installert basert på sentral mal. Server vil være klar til bruk etter omtrent ½ dag. Ved hardware feil: SENTRAL- har en to stykk reserveservere for dette formål. Disse er lokalisert i Stavanger og Haugesund. Dersom det er behov for ny reserveserver vil personell ved SENTRAL- rykke ut og installere denne. Når ny ROS analyse nettverk Side 16 av 32

17 maskinvare er på plass, vil programvaren på server bli re- installert fra sentral mal (samme rutine som ved programvarefeil). SENTRAL- Overvåking Nettverk og server blir overvåket med egen løsning. Dersom feil oppstår, blir driftspersonell varslet via e- post eller telefon. Overvåkingssystemet blir i tillegg manuelt sjekket for alarmer flere ganger per dag. Skolen Opplæring nye brukere Ved nytt skoleår vil - Teknikker VGS og - Pedagog VGS gjennomføre opplæring (klassevis) for nye elever slik at disse er i stand til å koble seg opp mot elevnettverket, hente programvare, foreta utskrift og benytte tjenestene de har behov for. Skolen Overvåking Egen løsning for overvåking av lokale ressurser ved skolen. Ved feil, blir - Teknikker VGS varslet ved e- post eller SMS. Denne type løsning finnes bare vet et fåtall av skolene, noe som igjen fører til en reaktiv drift. Merk at det er ikke alle skoler som har alle rutinene på plass. I tillegg er det er flere av rutinene ikke er tilstrekkelig dokumentert men eksisterer kun som en innarbeidet praksis. 3.5 Informasjonsflyt Erfaringene fra hendelsen januar/februar 2013, viste at informasjonsflyten ved feil ikke fungerer optimalt. Ved større feil eller hendelser er det SENTRAL- som har ansvar for å informere - Teknikker VGS ved den enkelte skole. Denne skal igjen informere administrasjon ved skolen som igjen skal informere lærere og elever. Viktig informasjon følger ansvarslinjene. Flyten er skissert i diagrammet under. Sentral- Drift/Tjeneste Sentral- sjef kontaktpunkt ved skole Rektor ved skole Administrasjon ved skole Lærere Elever ved skole Basert på hendelsen tidligere i år viser det at informasjon fra SENTRAL- til - Teknikker VGS fungerte noenlunde tilfredsstillende, men informasjonen videre nedover i systemet var til dels mangelfull. Dette førte igjen til at både lærere og elever ikke fikk tilstrekkelig informasjon, noe som igjen førte til utfordringer i læresituasjonen og frustrasjon blant både lærere og elever. ROS analyse nettverk Side 17 av 32

18 3.6 Brukeropplevd kvalitet Brukeropplevelser vil alltid være gjenstand for subjektive vurderinger. Det er ikke tatt i bruk systemer ved RFK for å gi objektive måling av begrepet brukeropplevd kvalitet. Dette følger igjen av mangel på etablert SLA mellom skoler og SENTRAL-. Noen skoler har egne systemer for måling av oppetid. Disse systemene måler når skolen mister tilgang til en eller flere sentrale systemer ved SENTRAL-. Men de samme systemene tar ikke hensyn til vedlikeholdsvinduer (når RFK har definert nedetid på grunn av vedlikehold av sine systemer) eller feil ved skolens egne løsninger. Det betyr at tallene som skolenes egne systemer genererer ikke kan benyttes for dette formål. Data som beskriver brukeropplevd kvalitet er derfor hentet fra elever og lærere som benytter nettverket til daglig. Blant de skolene som er intervjuet er det to momenter som går igjen. 1) Med unntak av episoden tidligere i år (jan- mars) har tilgjengeligheten vært meget bra. Nettverket har vært stabilt og tilgang til tjenester og systemer har fungert for både elever og lærere. 2) Hastigheten på nettverket varierer og kunne vært bedre. Dette gjelder både intern hastighet (mot lokale systemer) og ekstern hastighet (mot Internett). Dette var særlig tilfellet ved en skole (St. Svithun). Denne skolen har vært plaget med ustabilitet og variabel ytelse over lengre tid. Etter episoden i vår har skolen oppgradert hele sin lokale infrastruktur. Tidligere problemer med ustabil tilgang og redusert kapasitet på nettverket er, som følge av oppgraderingen, blitt eliminert. 3.7 Definerte kriterier som grunnlag for prioritering Prioritering av tiltak er gjort etter følgende kriterier. Prioritering Høy Medium Lav Beskrivelse Tiltak bør gjennomføres innenfor en tidsramme på 3-6 måneder. Benyttes for elementer med risiko innenfor området høy til kritisk. Tiltak bør gjennomføres innenfor en tidsramme på 6-12 måneder. Benyttes for elementer med risiko innenfor området medium til høy. Tiltak ikke nødvendig men kan gjennomføres dersom en ønsker beskrevet funksjonalitet. Benyttes for elementer med risiko innenfor området lav til medium. Kostnadsnivå for tiltak kan grovt beskrives slik. Kostnad Høy Medium Lav Beskrivelse Høy kostnad over tid uavhengig av ROI så lenge denne er positiv Høy kostnad over begrenset periode uavhengig av ROI så lenge denne er positiv Lav kostnad eller høy ROI ROS analyse nettverk Side 18 av 32

19 4 Fase 2 identifisere og analysere risiko Mulige hendelser med tilhørende verdier for sannsynlighet, konsekvens og risiko er beskrevet i tabellen under. Verdiene som benyttes er beskrevet i nærmere detalj i kapittel (Definisjoner for analysen). 4.1 Infrastruktur Sentral infrastruktur i administrasjon # Sentrale funksjoner: teknisk maskin- og programvare S K R Utfyllende info 1 Brannmur feiler All kommunikasjon til/fra skoler og til/fra Internett stopper. Passiv reserve tilgjengelig. 2 Hovedswitch - Cisco Stopp i all kommunikasjon. Alle moduler i enhet er duplisert feiler 3 Cisco Skole ACL feiler Passiv reserve og funksjonen kan frikobles manuelt 4 Allot AC feiler Ingen reserve, men funksjonen kan frikobles manuelt eller automatisk 5 Serverswitcher - Nexus feiler Duplisert løsning, aktiv- aktiv konfigurasjon 6 Feil med brukerdatabase (AD) System for brukerdatabase er duplisert 7 Feil med SSO pålogging (NAM) 8 Pålogging for trådløst nettverk feiler (Cisco ACS) Single SignOn - benyttes av Its Learning med flere Pålogging, og bruk, av trådløst nettverk ved hele RFK ikke mulig. 9 DNS server feiler DNS benyttes for navneoppslag mot tjenester på Intra- og Internett. Uavhengige systemer. 10 Kabling Intern kabling i datarom. Denne er av god standard og veldig liten sannsynlig for feil. Det er videre doble føringsveier mot alt kritisk utstyr. 11 Feil med kjøling Det har vært gjentakende problemer med kjøling, men disse skal være rettet opp. Men basert på historikk, og at nye rutiner og systemer ikke har fått bevist sin stabilitet, gjør at kjøling fortsatt må regnes som et kritisk element. 12 Feil med strøm Redundante strømforsyninger samt UPS 13 Fysisk innbrudd i data-, kjøle- eller nødstrømrom Dersom en 3. part får uautorisert adgang til data- eller kjølerom, eller til lokaler for nødstrøm, kan denne være denne i stand til å sette anleggene ut av drift for en lengre periode. 14 Feil med tilgang mot Internett Internett leveres av TDC. Det er redundante føringer mot TDC. Denne løsningen fører normalt til gode og stabil tilkobling mot Internett, men TDC har hatt interne problemer i sitt nettverk ved flere anledninger siste år som gjør at dette ikke har vært tilfelle. Visuelt beskrevet er det særlig en hendelse, nummer 11, som skiller seg ut. Sentrale hendelser Sentrale hendelser ROS analyse nettverk Side 19 av 32

20 Hendelse 11, feil med kjøling, er noe som ikke bør skje når en har redundant systemer med overvåking. Det har vist seg, i ettertid, at de feilene som har vært med kjølesystemet har hatt sin årsak i feil vedlikehold. Det er tatt aksjon på dette (total rens av system samt bytte av servicepartner) for å hindre at dette skjer igjen. RFK har også etablert vaktavtale med et eksternt selskap som rykker ut ved feil på anlegget (automatisk varsling ved feil). Men inntil systemet har vist en sammenhengende stabil og feilfri drift over en periode på minst 12 måneder fra og med sommeren 2013, anbefales økt fokus og oppfølging. Dersom systemet går feilfritt over 12 måneders perioden, kan både sannsynlighet og konsekvens settes til 1 og dette vil da får grønn status. Hendelse 1,2,6 7, 8 og 14 er kategorisert som middels til høy risiko. Det betyr at dersom feil oppstår vil det føre til at tilgang mot Internett og/eller trådløst nettverk faller bort, eller kvalitet på enkelte tjenester for skolene blir redusert, i en periode på ½ og 1 dag. Hendelse 13, fysisk innbrudd i data eller kjølerom, er merket med middels til høy risiko men sannsynligheten for innbrudd er i praksis så liten at den burde vært kategorisert som lav. Men grunnet tabellen som benyttes vil denne få middels til høy risiko Lokal infrastruktur på den enkelte skole Det er viktig å være klar over følgende faktum. Feil på en skole ikke vil få følger for andre skoler. Det kan derfor være en kalkulert risiko, sett ut fra et økonomisk perspektiv, å ikke ha redundans på kritiske systemer ved den enkelte skole. # Lokale funksjoner: teknisk maskin- og programvare 1 Lokal ruter feiler (Cisco L3 Skole) 2 Lokal WLAN kontroller feiler (Cisco WLAN kontroller) S K R Utfyllende info Lokal ruter på den enkelte skole. Ansvarlig for lokal styring av trafikk samt styring av trafikk mot Internett fra elevnettverk. Mangler reserve ruter samt nødvendig kompetanse for å foreta feilsøking og bytte. SENTRAL- har reserve ruter Styringsenhet for trådløst nettverk på den enkelte skole. Mangler reserve enhet samt nødvendig kompetanse for å foreta feilsøking og bytte. SENTRAL- har reserve enhet. 3 Feil med strøm Denne varierer fra skole til skole. Noen skoler har UPS på kritiske lokale objekter, mens andre går rett på nettstrøm. 4 Feil med kjøling Det er ikke datarom med kjøling på noen skoler. Det innebærer alltid en fare for overoppheting av utstyr, med tilhørende feil, dersom skolen ikke er klar over dette. 5 Feil med TDC nettverk Kobling mot TDC nettverksløsning for RFK. Tilbyr tilgang mot sentrale systemer og Internett 6 Feil på en eller flere lokale switcher 7 Feil med lokal skole- server, programfeil 8 Feil med lokale skole- server, maskinfeil 9 Utdatert eller feil utstyr på skolene Dersom en lokal switch filer, vil det føre til nedetid for hele eller deler av elevnettverket ved skolen Ved feil på lokal skole- server, og feil skyldes programvare, vil SENTRAL- foreta reinstallasjon via fjernsupport Ved feil på lokal skole- server, og feil skyldes maskinvare, vil SENTRAL- rykke ut med reserveserver og foreta nyinstallasjon. Sannsynlighet for denne type feil, øker med alder på lokal server samt i hvilket miljø serveren er plassert (kjøling, støv, etc.) Det er skoler hvor utstyr er av eldre dato, eller hvor skolen har kjøpt utstyr ikke følger anbefalinger fra SENTRAL-. Dette fører til økt administrasjon og dårligere brukeropplevelser. Dette ser vi særlig på skoler som ikke har tilstrekkelig lokal kompetanse eller hvor ledelsen ikke har prioritert lokal infrastruktur. Krav og forventninger har endret seg betydelig senere år, og ikke all skoler har fulgt med. 10 Redusert kapasitet på trådløst nettverk 11 Manglende kompetanse på skolene Redusert kapasitet på det trådløse nettverket fører ikke til at nettverket blir utilgjengelig, men brukerne kan oppleve nettverket som utilgjengelig grunnet redusert kapasitet. Dersom for mange brukere kobler seg opp mot, og benytter, det trådløse nettverket samtidig så vil en oppleve kapasitetsproblemer Manglende lokal kompetanse eller organisering av sentral kompetanse og utnyttelse på tvers av alle enheter ROS analyse nettverk Side 20 av 32