Enhet for Intern Revisjon REVISJONSRAPPORT. IT-tilgangsstyring

Transkript

1 Side 1 av 5 Enhet for Intern Revisjon REVISJONSRAPPORT IT-tilgangsstyring Distribusjon: IT-direktøren OPA Kopi: Universitetsdirektøren Gjennomført februar - september 2013 Revisorer: Morten Opsal Blindern, november 2013

2 Side 2 av 5 1 Bakgrunn Revisjonen ble satt opp som revisjonsområdet i EIRs årsplan for 2012, og har blitt videreført til planen i Tilgang til IT-ressurser må skje etter gode rutiner, slik at ressursene kun kan nås av de som skal nå dem. 2 Formål, omfang og gjennomføring Revisjonen har hatt følgende formål: Å se etter om tilgangsstyring til IT-ressurser ved UiO skjer etter retningslinjene i ITsikkerhetshåndbokens kapittel 11: Identifikasjon, autentisering og autorisering. Revisjonen har sett på rutiner rundt tildeling og ajourhold av: Generelle tilganger til UiOs IT-ressurser Spesielle tilganger (privilegerte brukere) Tilgang til IT-systemene på nivå 1 og 2 ved UiO o SAPUiO o FS o Cerebrum/BAS o OA o Basware IP og PM o UA o CRISTiN o EPHORTE Systemene FinnRom, Styringskartet, Buddy, Kuben, Datavarehus, Easycruit kom til underveis i revisjonen og er også dekket. Systemet SO (Samordna Opptak) har ikke vært del av revisjonen. 2.1 Gjennomføring Revisjonen er utført med intervjuer med systemeiere, med ansatte i lokal IT og med ansatte ved USIT som forvalter sentrale tjenester/systemer. Totalt er det utført 27 intervjuer. Systemeiere og systemforvaltere for alle de opplistede systemene er intervjuet. Ved USIT har områdene nettinfrastruktur, databaser, serverpark (UNIX og Windows), webtjenester og Cerebrum vært omfattet av revisjonen. 2.2 IT-sikkerhetshåndbokens kapittel 11 Kapittelet innleder med å fastslå at «Universitetet i Oslo skal ha systemer som sikrer pålitelig identifisering og autentisering av brukere tjenester og systemer. Informasjon om personer skal hentes fra autoritative systemer.» Videre beskrives 11.1 autoritative systemer: «Informasjon om personer som skal ha ordinær tilgang til universitetets IT-tjenester og ITsystemer skal være registrert i følgende autoritative systemer: POLS Universitetets personal- og lønnssystem (nå kalles systemet SAPUiO) FS Felles studentsystem I tillegg til informasjonen om personer inneholder disse systemene også informasjon om disse personers organisatoriske tilknytning til universitetet (sted) og deres funksjon (rolle). Tilgang til universitetets IT-tjenester ot IT-systemer for andre enn tilsatte og studenter skal være hjemlet i et eget reglement eller i egen kontrakt.»

3 Side 3 av 5 Kapittel 11 omtaler også en rekke andre forhold, hvor det i denne sammenheng nevnes 2: Personers generelle tilgang til universitetets IT-ressurser tildeles på grunnlag av deres tilknytning til universitetet og reguleres av IT-reglementet. Avvikling av brukerrettigheter. Kapittel 11 omtaler ikke spesifikt om rutiner og regler omkring endring av brukerrettigheter, men EIR mener det kan ledes ut av teksten at også endringer i ansettelsesforhold, både sted og rolle, skal medføre en gjennomgang og evt endring av de brukerrettighetene som finnes. 3 Håndtering av tilganger Styring av tilganger består av 3 faser: Etablering, endring og avslutning. Tilganger til system blir gitt på forskjellig måte, men hovedregelen er at en bruker som skal få tilgang til et system først må finnes i enten SAPUiO eller FS. Derfra spres brukerinformasjon utover til de andre systemene. Til noen systemer skjer det en manuell etablering av bruker, i andre skjer det automatisk. Etablering av tilganger skjer etter gode og sikre rutiner. Men for endring og avslutning av tilganger er det i liten grad rutiner som fungerer. Enkelt sagt blir nye tilganger i stor grad lagt til tidligere gitte tilganger, slik at omfanget av tilganger øker. Og avslutning av arbeidsforhold blir i liten grad kjent for aktuelle forvaltere av tilgangene. Det er ikke etablert gode og fungerende rutiner eller automatiserte prosesser for å ivareta endring og avslutning av tilganger. Ved UiO er det regler for å beholde noe tilgang til IT-ressurser også etter avsluttet forhold til institusjonen, omtalt i kapittel i IT-sikkerhetsboken (faktisk nummerering er ). EIR mener det vil være hensiktsmessig at disse reglene gjennomgås på nytt. Vurdering Rutinene er ikke i tråd med reglene i IT-sikkerhetshåndboken og må forbedres. Enhver endring i behov for tilgang på grunn av endrede/nye gjøremål eller avsluttet arbeidsforhold ved UiO må gjenspeiles i reell endring av tilganger. Tilganger som ikke lenger er nødvendige, skal fjernes. EIR har ikke en klar mening om hvordan denne forbedringen skal utføres. Vi er imidlertid kjent med at det arbeides med rollebaserte koblinger i SAPUiO, hvor det knyttes roller til en person, og tilganger til systemer gis på bakgrunn av de roller personen er knyttet til. Endring av rolle vil medføre endring av tilganger. EIR mener det er en riktig utvikling. Siden det er flere manuelle prosesser ved styring av IT-tilganger, vil roller i SAPUiO ikke dekke alle nødvendige endringsbehov i tilganger, og andre gode løsninger må derfor også etableres. 4 Autoritativ kilde USIT har et ønske om at alle som skal ha tilgang til UiOs IT-ressurser først skal finnes i et av de to autoritative systemene, FS for studenter og SAPUiO for ansatte og andre brukere. Andre brukere er i denne sammenheng definert som: Tilknyttede: personer som enheter ved universitetet samarbeider med og som tildeles rettigheter på linje med ansatte. Skal være registrert i SAPUiO (IT-sikkerhetsbok punkt , 3. kulepunkt).

4 Side 4 av 5 Brukere på grunnlag av kontrakt: brukere som får tildelt rettigheter til universitetets ITtjenester og IT-systemer på grunnlag av kontrakt skal registreres i SAPUiO og få tildelt rettigheter slik de er spesifisert i kontrakten (IT-sikkerhetsbok punkt , 3. kulepunkt). OPA, som systemeier, har som utgangspunkt at SAPUiO er et lønnssystem og at det kun er personer som skal ha lønn fra systemet som skal finnes i det. I tillegg kan det defineres Assosierte brukere/gjester i SAPUiO 1. Dersom også andre skulle vært der vil det kreve at et eget organisasjonstre etableres og vedlikeholdes, noe som ikke er ønskelig. Det vil også være en kostnad forbundet med å vedlikeholde dette. Her er det prinsipielle forskjeller mellom USIT og OPA. Slik teksten står i ITsikkerhetshåndboken er det et krav at også tilknyttede og brukere på grunnlag av kontrakt skal finnes i SAPUiO. Og IT-sikkerhetshåndboka er godkjent av Universitetsdirektøren. Mens OPA kun vil ha personer som mottar lønn eller som er assosierte brukere. Gruppen «brukere på grunnlag av kontrakt» faller utenfor definisjonen til OPA. Vurdering. EIR mener at denne forskjellen må opphøre. Sett fra et sikkerhetsperspektiv vil det beste være om alle brukere som skal ha rettigheter til ITressurser ved UiO, først må finnes i den autoritative kilden. Gjennom revisjonen har EIR ikke funnet en god oversikt over hvilke kontrakter som ligger til grunn for at brukere får tilgang og hvem som forvalter kontraktene. En slik oversikt bør lages. Alle kostnader for å forvalte tilgang til IT-ressurser på dette området, må belastes kontraktspartene. 5 Privilegerte brukere 5.1 USIT Revisjonen har gjennomgått roller ved USIT som har omfattende tilganger på sine ansvarsområder, og det er ikke avdekket avvik i hvordan disse etableres og forvaltes. Det ble også registrert at det var planer for å forsterke sikkerheten i de gjennomgåtte områdene. 5.2 Lokal IT Lokal IT har utvidede rettigheter til IT-ressurser for å utføre sine oppgaver. Det er besluttet å la personene som jobber i funksjonen opptre med 2 eller flere brukeridenter. En eller flere med utvidede rettigheter for å utøve oppgavene som lokal IT, og en for alt annet. Dette for å redusere risiko for sikkerhetsbrudd. EIR mener dette er en god beslutning og at bør den implementeres fullt ut. 6 Konklusjon Rutiner som sikrer at tilgangsstyring til IT-ressurser ved UiO skjer etter retningslinjene i ITsikkerhetshåndbokens kapittel 11 er ikke tilfredsstillende. Det er spesielt endring og avslutning av tilganger som ikke ivaretas. 1

5 Side 5 av 5 7 Videre behandling Rapporten peker på noen forhold som det må arbeides med. Rutiner for å sikre korrekt ajourhold av tilganger ved endringer i eller avslutninger av arbeidsforhold Avklare på hvilken måte «brukere på grunnlag av kontrakt» skal behandles mht autoritativ kilde. Vi ser det som naturlig at USIT og OPA i samarbeid gjennomgår rapporten og utarbeider plan for å forbedre påpekningene. Vi ber om en tilbakemelding på rapporten og dens påpekninger, herunder en plan for når tiltak skal iverksettes, innen Sveinung Svanberg Avdelingsdirektør Morten Opsal Seniorrådgiver