IT-sikkerhet - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008 2009 Telemark kommunerevisjon IKS
Innhold Sammendrag...iv 1 Innledning...1 1.1 Bakgrunn...1 1.2 Formål og problemstillinger...1 1.3 Avgrensing...1 2 Metode...2 2.1 Valg av metode...2 2.2 Kvalitetssikring...2 3 Er sikkerhetsrisikoen vurdert ved en systematisk gjennomgang for å identifisere trusler og er det etablert en sikkerhetsstrategi?...3 3.1 Revisjonskriterer...3 3.1.1 Risikovurdering 3 3.1.2 Sikkerhetsrevisjon og strategidokument 4 3.2 Funn og fakta...5 3.3 Vurderinger...5 3.4 Konklusjon...6 3.5 Anbefaling...6 4 Er alle relevante lover og kontraktsmessige krav tydelig definert og dokumentert for hvert enkelt informasjonssystem?...7 4.1 Revisjonskriterium...7 4.2 Funn og fakta...7 4.3 Revisors vurderinger...8 4.4 Konklusjon...9 4.5 Anbefaling...9 5 Sikrer virksomhetens organisering og etablerte sikkerhetstiltak en god IT-sikkerhet? 10 5.1 Revisjonskriterium...10 5.1.1 Organisering 10 5.1.2 Sikkerhetstiltak 11 5.2 Funn og fakta...12 5.2.1 Organisering 12 5.2.2 Tilgangskontroll 12 5.2.3 Fysisk sikring 13 5.2.4 Sikkerhetskopiering 14 5.2.5 Konfigurasjonskontroll, vedlikehold og nedetid 14 5.2.6 Avvikshåndtering 14 5.2.7 Leverandører/tredjeparter 14 5.3 Revisors vurderinger...15 5.3.1 Organisering 15 5.3.2 Sikkerhetstiltak 15 5.4 Konklusjon...16 Telemark kommunerevisjon IKS ii
5.5 Anbefaling...16 Litteratur og kildereferanser...17 Vedlegg...19 Vedlegg 1: Begrep som benyttes i rapporten...20 Vedlegg 2: Eksempel på oppbygging av skjema for risikovurdering...21 Vedlegg 3: Standard intervjuguide (ble tilpasset den vi skulle intervjue)...22 Telemark kommunerevisjon IKS iii
Sammendrag Rapporten IT-sikkerhet er gjennomført som forvaltningsrevisjon og er en del av vedtatt plan for forvaltningsrevisjon 2008-2011. Bakgrunnen er at det i virksomhetsanalysen står: Sauherad har felles IT-funksjon gjennom Midt-Telemarksamarbeidet v/ Midt-Telemark IKT. Det framgår av årsmeldingen for Midt-Telemarksamarbeidet for 2007 at beredskap og sikkerhet ikke er på plass. Kommunen opplyser at plan for sikkerhet er under utarbeidelse. Manglende IT-sikkerhet kan innebære en vesentlig risiko. Formålet med prosjektet er å undersøke om IT-sikkerheten er tilstrekkelig god med hensyn til driftssikkerhet, beskyttelse av materiell, informasjonssikkerhet og personvern. Prosjektet skal bidra til bedre IT-sikkerhet i kommunen og avdekke eventuelle mangler Med bakgrunnen i formålet utformet vi tre problemstillinger. Problemstillingene er basert på NS-ISO/IEC 17799 (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er en standard fastsatt av Norges Standardiseringsforbund. Revisor har i all hovedsak hentet inn opplysninger gjennom intervju og dokumentanalyse. Konklusjoner av undersøkelsen Sauherad kommune har ikke utarbeidet et eget dokument for vurdering av risiko og vurdert hva som er akseptabel risiko for de forskjellige fagapplikasjonene. Kommunen har heller ikke utarbeidet beredskapsplanar der IT-sikkerhet er integrert. Det er gjennomført risikovurderinger for noen av fagapplikasjonene kommunen bruker, men disse vurderingene er ikke alltid dokumentert. Administrasjonen opplyser at de skal utarbeide et overordnet dokument der IT-sikkerhet er inkludert, men dette er foreløpig ikke på plass. Med bakgrunn i informasjonen vi har mottatt, kan vi si at kommunen overholder kontraktsmessige krav. Kommunen burde likevel vurdere å utarbeide en fullstendig oversikt over lisensavtaler og brukere, noe som også kan lette arbeidet med administrasjonen av avtalene. Kommunen har ikke etablert rutiner som ivaretar meldeplikt og konsesjonsplikt overfor Datatilsynet. Vi kan ikke slå fast om meldeplikten til Datatilsynet faktisk er overholdt, da det er uklart hvem som har ansvar, og melding/konsesjon ikke er dokumentert. Manglende dokumentasjon er et brudd på plikten til internkontroll etter personopplysningsloven og personopplysningsforskriften. De ansatte har en bevisst holdning til behandling av informasjon, spesielt sensitiv informasjon. Rutinene for tilgangskontroll, sikkerhetskopiering og konfigurasjonskontroll er jevnt over god i Sauherad kommune, men det mangler en del dokumentasjon. Den fysiske sikringen av data i kommunen som helhet er noe svak, men spesielt der hvor de behandler sensitive opplysninger er det etablert gode fysiske sikringstiltak. Avviksbehandling varierer en del i kommunen og det bør vurderes om dette også nedfelles i rutiner. Telemark kommunerevisjon IKS iv
Vi kan gjennom våre kontroller konkludere med at IT-sikkerheten jevnt over er god mot leverandørene (av IT-systemer/applikasjoner) til Sauherad kommune. Så langt revisor har fått kjennskap til, har de bare de tilgangene de trenger. Vi har følgende anbefalinger til kommunen: Kommunen bør utarbeide en risikovurdering for de enkelte fagapplikasjonene som kommunen benytter i sin saksbehandling. I dokumentasjonen bør det komme fram et resultat av vurderingen som samsvarer med gjeldende krav/regler og hva som er akseptabel risiko. Kommunen bør samtidig utarbeide en rutine for når en risikovurdering skal gjennomføres. Kommunen bør utarbeide et overordna dokument som inneholder sikkerhetsmål, strategi og organisering. Dokumentet bør også inneholde beredskapsplanar som dekker katastrofesituasjoner. Kommunen bør utarbeide en fullstendig oversikt over fagsystemene som viser hvilken lovhjemmel for saksbehandling den enkelte enheten benytter, om det trengs konsesjon eller melding, type lisens og antall brukere. Kommunen bør avklare om meldeplikten til datatilsynet er overholdt. Kommunen bør etablere internkontroll for å sikre at meldeplikten og andre plikter etter personopplysningsloven blir overholdt. Kommunen bør utvikle skriftlige rutiner for IT-behandling i de virksomhetene hvor dette ikke finnes i kommunen i dag. Tilganger til fagapplikasjoner bør slettes umiddelbart når en ansatt slutter og tilgangen til ansatte ved langvarig sykdom eller permisjoner bør settes som passiv. Ansvar og myndighet for oppgaver i kommunen bør tydelig plasseres. Prosesser ved omlegging/valg av nye applikasjoner/system bør være tilrettelagt for medvirkning fra kommunens ansatte. Skien, 8. juni 2009 Telemark kommunerevisjon IKS Alf Olav Uldal forvaltningsrevisor Anne Sæterdal forvaltningsrevisor Telemark kommunerevisjon IKS v
1 Innledning Rapporten IT-sikkerhet er gjennomført som forvaltningsrevisjon. Hjemmel for forvaltningsrevisjon følger av kommuneloven 77 nr. 4, med nærmere vilkår i forskrift om kontrollutvalg kap. 5 og forskrift om revisjon kap. 3 1. Dette prosjektet er gjennomført etter vedtatt plan for forvaltningsrevisjon 2008-2011. Rapporten blir oversendt kontrollutvalget som videre skal rapportere til kommunestyret om hvilke forvaltningsrevisjoner som er gjennomført og om resultatene av disse, jf. forskrift om kontrollutvalg 11, og forskrift om revisjon 8. 1.1 Bakgrunn Prosjektet står som nummer to i virksomhetsanalyse og plan for forvaltningsrevisjon i Sauherad kommune 2008-2011. Bakgrunnen er at det i virksomhetsanalysen står: Sauherad har felles IT-funksjon gjennom Midt-Telemarksamarbeidet v/ Midt-Telemark IKT. Det framgår av årsmeldingen for Midt-Telemarksamarbeidet for 2007 at beredskap og sikkerhet ikke er på plass. Kommunen opplyser at plan for sikkerhet er under utarbeidelse. Manglende IT-sikkerhet kan innebære en vesentlig risiko. 1.2 Formål og problemstillinger Formålet med prosjektet er å undersøke om IT-sikkerheten er tilstrekkelig god med hensyn til driftssikkerhet, beskyttelse av materiell, informasjonssikkerhet og personvern. Prosjektet skal bidra til bedre IT-sikkerhet i kommunen og avdekke eventuelle mangler. Vi har med bakgrunn i formålet utformet følgende problemstillinger: 1. Er sikkerhetsrisikoen vurdert ved en systematisk gjennomgang for å identifisere trusler og er det etablert en sikkerhetsstrategi? 2. Er alle relevante lover og kontraktsmessige krav tydelig definert og dokumentert for hvert enkelt informasjonssystem? 3. Sikrer virksomhetens organisering og etablerte sikkerhetstiltak en god IT-sikkerhet? Problemstillingene er basert på NS-ISO/IEC 17799 (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er en standard fastsatt av Norges Standardiseringsforbund. 1.3 Avgrensing Prosjektet er tidsmessig avgrenset til situasjonen på undersøkelsestidspunktet (januar - mars 2009). Vi har ikke evaluert de forskjellige tekniske løsningene, men har valgt å undersøke hvordan rutiner og styrende dokumenter for IT fungerer. 1 Jf. forskrifter av 15. juni 2004. Telemark kommunerevisjon IKS 1
2 Metode 2.1 Valg av metode Før arbeidet startet, hadde vi et oppstartsmøte med rådmann, leder for Midt-Telemark IKT, stabsleder og prosjektleder interkommunale tjenester. Formålet var å innhente bakgrunnsinformasjon og faktaopplysninger, og orientere nærmere om gjennomføringen av prosjektet. Revisor har i all hovedsak hentet inn opplysninger gjennom intervju. Vi har hatt intervju med ansatte i Midt-Telemark IKT, som er de som drifter IT-funksjonen i Sauherad. Vi har også intervjuet systemansvarlige for IT-systemene i kommunen. Vi fokuserte på de systemene hvor det behandles og lagres sensitive opplysninger, fordi slike opplysninger vil utgjøre størst risiko om de kommer på avveie. Vi har derfor snakket med de som er systemansvarlige for WinMed Helse, Acos Barnevern, PPI, Acos Sosial og Profil. Vi har også snakket med systemansvarlige for kommunens arkiv-, sakbehandlings- og publiseringssystem (Acos Websak og Acos InfoLink) og økonomisystemene EDB økonomi og Arena budsjettsystemer. På forhånd utarbeidet vi en intervjuguide 2 for å standardisere spørsmålene mest mulig, se vedlegg 3. Intervjuene ble likevel gjennomført slik at hver enkelt intervjuperson kunne komme med tilleggsopplysninger. Styrken ved denne intervjuformen er at en holder seg til tema og får en viss struktur i intervjuet, samtidig som det åpner for individuelle forskjeller. Vi har hatt en generell gjennomgang av aktuelle dokumenter i saken for å innhente nødvendige opplysninger. Dette gjelder interne dokumenter som for eksempel samarbeidsavtaler og relevant regelverk. Vi har inspisert sentralt serverrom i Midt-Telemark IKTs lokaler og lokalene hvor de vi intervjuet i Sauherad kommunens arbeider. 2.2 Kvalitetssikring Utkast av rapporten er sendt til rådmannen i Sauherad kommune til uttalelse. Per telefon 8. juni 2009 fikk revisjonen bekreftet av Svein Taranrød at rapporten var lest og at innholdet var akseptert. Det ble også sagt at rapporten var grundig og god, og den dannet et godt grunnlag for å jobbe videre med de punktene som revisjonsrapporten pekte på. 2 Huskeliste over tema som skal tas opp i et intervju Telemark kommunerevisjon IKS 2
3 Er sikkerhetsrisikoen vurdert ved en systematisk gjennomgang for å identifisere trusler og er det etablert en sikkerhetsstrategi? 3.1 Revisjonskriterer 3 3.1.1 Risikovurdering Risikovurdering er utgangspunktet for ethvert arbeid med å sikre sikkerheten. Det er en forutsetning for å avdekke sårbare punkt og sette i verk sikringstiltak. Formålet med risikovurdering er å undersøke hvorvidt den risiko som avdekkes er innenfor de akseptkriterier virksomheten har fastlagt. Risikovurderingen danner grunnlag for iverksetting av nødvendige sikkerhetstiltak, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4 Noen opplysninger i datasystemet krever særskilte sikringstiltak, som for eksempel personopplysninger. I personopplysningsloven 5 13, 1.ledd står det: Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. I personopplysningsloven 2-4, 2. og 5. ledd: Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal dokumenteres. Personopplysingsloven inneholder regler om informasjonssikring og internkontroll. Ledelsen er ansvarlig for å etterkomme sikkerhetskravene. Internkontrollbestemmelsen i 14 innebærer en plikt for den behandlingsansvarlige til å vurdere om det er behov for iverksette tiltak for å oppfylle de krav til behandlingen av personopplysninger som er fastsatt i eller i medhold av lov. Tiltakene skal være planlagte, dvs. de må foreligge på forhånd, primært før behandlingen starter. Tiltakene skal videre være systematiske, noe som innebærer at de skal være resultat av en helhetlig tilnærming og ikke ha karakter av å være tilfeldige. Tiltakene skal ikke minst være dokumenterte, dvs. de må foreligge i en form som gjør det mulig å tilegne seg kunnskap om dem (skrift, tegning, bilder m.v.). 6 Det samme gjelder i henhold til helseregisterloven. 7 Personopplysningsforskriftens kapittel 3 beskriver nærmere hva internkontrollen skal omfatte. I faktaark 7 8 heter det; Virksomhetens ledelse er ansvarlig for å gjennomføre risikovurdering av behandling av helse- og personopplysninger. Risikovurdering skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten. I dette faktaarket finner vi blant annet anbefalinger om hvordan 3 Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som foretas, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere avvik eller svakheter. 4 Datatilsynet, 2005. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet 5 Lov 14.04.2000 nr. 31 om behandling av personopplysninger 6 Schartum, D.W. 2000. Lov om behandling av personopplysninger, Lov og rett, s 554 7 Lov 18.05.2001 nr 24 om helseregistre og behandling av helseopplysninger, kapittel 3. 8 Sosial- og helsedirektoratet, 07.08.2006. Norm for informasjonssikkerhet i helsesektoren, Sosial- og helsedirektoratet Telemark kommunerevisjon IKS 3
risikovurdering av personopplysninger bør gjennomføres. Se vedlegg 2 for eksempel på skjema for risikovurdering. Risiko kan måles på to måter: hvor sannsynlig det er at noe skjer og hva slags konsekvenser denne hendelsen kan få. En risikovurdering skal resultere i 9 : - oversikt over identifiserte trusler - vurdering av hvor sannsynlig det er at en uønsket hendelse skal skje - vurdering av konsekvenser av en uønsket hendelse - vurdering av hva slags effekt sikkerhetstiltakene vil ha opp mot risiko - vurdering av hva slags sikkerhetstiltak kommunen trenger for det enkelte informasjonssystem En risikovurdering skal være et styringsredskap for den som har ansvaret for informasjonssikkerheten. Gjennom arbeidet med risikovurdering bør kommunen dokumentere hva slags sikkerhetstiltak som er gjennomført og hva slags sikkerhetstiltak som bør gjennomføres. Det er virksomhetens ledelse som har ansvaret for utarbeidelse av en risikovurdering. 3.1.2 Sikkerhetsrevisjon og strategidokument I personopplysningsforskriften 2-5, 1. og 2.ledd står det: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Og i 5.ledd: Resultatet av sikkerhetsrevisjon skal dokumenteres. Ledelsen har ansvaret for at det gjennomføres sikkerhetsrevisjon hvert år. Formålet med sikkerhetsrevisjon er å sikre at vedtatte sikkerhetsmål, -strategier og organisering blir fulgt. Resultatet av revisjonen danner grunnlaget for eventuelle endringer. Valg og prioriteringer i sikkerhetsarbeidet skal komme fram i et strategidokument. Kravet til kommunen om utarbeidelse av skriftlige strategidokument finner vi i personopplysningsforskriften 10 2-3, 2. og 3.ledd hvor det står: Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Sikkerhetsmålene skal blant annet vise overordnede krav til konfidensialitet, integritet og tilgjengelighet for personopplysninger. Sikkerhetsmålene skal ta utgangspunkt i lovpålagte krav til informasjonssikkerhet. Med bakgrunn i ovennevnte utredning blir revisjonskriteriene slik: Kommunen skal dokumentere at det er utført en systematisk risikovurdering. Risikovurderingen bør beskrive risiko som blir avdekket og sammenlikner dette med det som er definert som akseptabelt risikonivå. Restrisiko bør håndteres ved hjelp av sikkerhetstiltak, enten for å redusere konsekvensene eller sannsynligheten for uønskede hendelser. Kommunen skal ha utarbeidet et overordnet dokument for sin sikkerhetsstrategi, med bakgrunn i disse vurderingene. 9 Fra Datatilsynet, 2005. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, side 12 10 Forskrift: 15.12.2000 nr. 1265 om behandling av personopplysninger Telemark kommunerevisjon IKS 4
3.2 Funn og fakta Sauherad kommune har ikke utarbeidet et eget dokument for vurdering av risiko og vurdert hva som er akseptabel risiko for de forskjellige fagapplikasjonene. Kommunen har heller ikke utarbeidet beredskapsplanar der IT-sikkerhet er integrert. Det er ifølge rådmannen gjennomført risikovurderinger (ROS-analyse) ved legekontorene. Vurdering av risiko er også gjennomført for fagsystemet Profil som brukes innen pleie og omsorg, men vurderingene er ikke dokumentert skriftlig. Sauherad kommune har ikke utarbeidet et overordnet (strategi-)dokument der IT-sikkerhet er inkludert. I oppstartsmøtet ble det presisert fra administrasjonens side at datasikkerheten er fysisk på plass, men at en mangler en helhetlig strategi og dokumentasjon. Ifølge rådmannen og Midt-Telemark IKT er et slikt dokument under utarbeidelse. 3.3 Vurderinger Begrepet IT-sikkerhet bygger på disse tre basisegenskapene: - Integritet at systemet er sikret mot manipulering med systemets funksjon og informasjon. - Tilgjengelighet at systemet er sikret mot avbrudd i den forventede funksjonen og at systemet har tilgang til nødvendig datainnhold. - Konfidensialitet at systemets funksjon og datainnhold er sikret mot innsyn. Tilfeldig svikt eller et tilsiktet angrep mot informasjonen innen en infrastruktur, vil bestå av et sett med virkemidler rettet mot en eller flere av disse egenskapene. 11 Hvilke trusler kan en kommune bli utsatt for? Trusselbildet kan være omfattende med tanke på angrep og andre uønskede hendelser. Angrep via internett er lett å se for seg, og ofte er disse angrepene ikke rettet mot noen spesielle mål. Det gjelder eksempelvis virus, ormer, spionprogram og phishing. 12 Disse søker automatisk etter system som er dårlig sikret. Det er derfor ingen grunn til å tro at en mindre kommune ikke kan blir rammet av et slikt angrep. Andre trusler som tyveri, brann og vannlekkasjer kan føre til både driftsavbrudd og at informasjon kommer på avveie. Hvem kan være interessert i den informasjonen som ligger i systemet? Hvilke tilfeldige svikt kan vi sikre oss mot og hvor lenge kan vi tåle at et avbrudd varer? I en vurdering av risiko bør kommunen skildre de uønskede hendelsene som kan skje og hvor sannsynlig det er at det skjer. Tekniske løsninger alene er ikke alltid godt nok for å sikre seg mot uønskede hendelser. Kanskje må en eller annen form for overvåking til, slik som gjennomgang av sikkerhetslogger. En vurdering av hvor sannsynlig det er at dette kan skje henger sammen med nødvendige sikkerhetstiltak og eventuell beredskapsplan. Dette bør være beskrevet i et dokument. Det kan også være aktuelt å utarbeide en beredskapsplan for å klargjøre hva som må til for å gjenopprette drift av nettverk og hvilke fagsystem som skal prioriteres først. I følge personopplysningsforskriften plikter kommunen å ha en sikkerhetsstrategi. Sikkerhetsstrategien gir premissene for hva som er akseptabel risiko i kommunen. Hva som er akseptabel risiko og om de valgte sikkerhetstiltakene gir tilfredsstillende sikkerhet skal komme fram gjennom risikovurderingene, jf. punkt 3.1. Sikkerhetsstrategien er et viktig 11 Stortingsmelding nr. 17 (2006-2007) Et informasjonssamfunn for alle, Stortinget, side 146 12 Se vedlegg 1 for forklaring av begrep. Telemark kommunerevisjon IKS 5
dokument som bør behandles av kommunens øverste administrative ledelse og vedtas av kommunestyret. Innen IT- sektoren vil det være en stadig utvikling med nye utfordringer som bør inkorporeres i dokumentet. Det er derfor viktig at strategidokumentet revideres jevnlig og oppdateres på områder som ikke fungerer optimalt. Formålet med beredskapsplanlegging er å sikre nødvendig behandling av opplysninger ved avbrudd i normal drift. Det er viktig for kommunen å ha en plan som også omfatter ITspørsmål om en katastrofesituasjon skulle oppstå, slik at en kan få systemet raskere i gang i etterkant av et eventuelt avbrudd i normal drift. 3.4 Konklusjon Sauherad kommune har ikke utarbeidet et eget dokument for vurdering av risiko og vurdert hva som er akseptabel risiko for de forskjellige fagapplikasjonene. Kommunen har heller ikke utarbeidet beredskapsplanar der IT-sikkerhet er integrert. Det er gjennomført risikovurderinger for noen av fagapplikasjonene kommunen bruker, men disse vurderingene er ikke alltid dokumentert. Administrasjonen opplyser at de skal utarbeide et overordnet dokument der IT-sikkerhet er inkludert, men dette er foreløpig ikke på plass. 3.5 Anbefaling Kommunen bør utarbeide en risikovurdering for de enkelte fagapplikasjonene som kommunen benytter i sin saksbehandling. I dokumentasjonen bør det komme fram et resultat av vurderingen som samsvarer med gjeldende krav/regler og hva som er akseptabel risiko. Kommunen bør samtidig utarbeide en rutine for når en risikovurdering skal gjennomføres. Kommunen bør utarbeide et overordna dokument som inneholder sikkerhetsmål, strategi og organisering. Dokumentet bør også inneholde beredskapsplanar som dekker katastrofesituasjoner. Telemark kommunerevisjon IKS 6
4 Er alle relevante lover og kontraktsmessige krav tydelig definert og dokumentert for hvert enkelt informasjonssystem? 4.1 Revisjonskriterium Hvilke lover som er relevante er avhengig av hva slags informasjon som skal behandles av det aktuelle informasjonssystemet. Personopplysninger skal behandles i samsvar med personopplysningsloven og evt. Helseregisterloven. I forskrift om behandling av personopplysninger 2-4, 1. ledd, 1.setning står det: Det skal føres oversikt over hva slags personopplysninger som behandles. Om kommunen trenger konsesjon på forskjellige elektroniske personopplysningsregister må vurderes i hvert enkelt tilfelle. Noen elektroniske register kan opprettes med hjemmel i lov, for eksempel sosialtjenesteloven og kommunehelsetjenesteloven. Kommunen har i alle tilfeller meldeplikt til Datatilsynet når kommunen oppretter et elektronisk register med hjemmel i lov. Etter forskrift om behandling av personopplysninger 3-1, 3.ledd bokstav f, skal kommunen ha rutiner for oppfyllelse av sine plikter i forbindelse med personopplysningslovens regler om melde- og konsesjonsplikt. Etter 3-1 andre ledd plikter kommunen å ha tilstrekkelig og oppdatert dokumentasjon for gjennomføring av slike rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå. Kontraktsmessige krav er blant annet krav om opphavsrett og grense for kopiering av proprietært 13 materiell. Vanligvis blir proprietære programvareprodukter 14 levert med en lisensavtale. Kontraktsmessige krav kan også være krav i forbindelse med avtalen kommunen har med sine underleverandører, eksempelvis om leverandørens taushetsplikt. Med bakgrunn i ovennevnte utredning blir revisjonskriteriene slik: Kommunen skal ha dokumentasjon som viser en oversikt over hva slags opplysninger som blir behandlet i de forskjellige datasystemene og hvilke lover som er knyttet til opplysningene. Kommunen skal ha dokumenterte rutiner som sikrer at det søkes konsesjon eller sendes melding til Datatilsynet for behandling av de opplysningene som kan finnes i datasystemet. Kommunen bør ha dokumentasjon på at kommunens datasystem/programvare er i samsvar med aktuell lisensavtale, konsesjonsplikt eller meldeplikt. 4.2 Funn og fakta Kommunen har flere applikasjoner 15 som de benytter i sin saksbehandling som inneholder opplysninger som ikke kan gjøres offentlig. I noen applikasjoner ligger det også sensitive personopplysninger. 16 På vår forespørsel ble det laget en oversikt over hvilke fagsystem kommunen benytter og hvem som har ansvaret for dem. 13 Et format som ikke er fritt, men som er eid av et selskap ved at selskapet eier spesifikasjonen av formatet og kontrollerer den videre utviklingen av det, kalles proprietært. 14 Systemprogramvare omfatter blant annet operativsystemet, drivere, og annet som er nødvendig for å kunne kjøre applikasjoner. 15 Applikasjon er en programvare som benytter seg av datamaskins ressurser til en oppgave som brukeren ønsker utført. 16 Se vedlegg 1 for definisjon på sensitive opplysninger. Telemark kommunerevisjon IKS 7
Applikasjonen Helsenettet blir benyttet av legekontoret. Applikasjonen på helsestasjonen heter Winmed helse. Profil er en applikasjon som blir benyttet av pleie og omsorg, sosialtjenesten (NAV) benytter Acos Sosial, PP-tjenesten benytter PPI og barnevernet benytter Acos Barnevern. Alle disse applikasjonene er lagt i en sikker sone og kan inneholde sensitive personopplysninger. Andre applikasjoner som brukes er Acos Websak, EDB økonomi og lønnssystemet. Disse applikasjonene ligger i en åpen sone og kan inneholde personopplysninger, men bør ikke inneholde sensitive personopplysninger. Vi har ikke sett dokumentasjon på at kommunen har rutiner for eller faktisk har oppfylt sine plikter om meldeplikt og konsesjonsplikt for registrering av personopplysninger til Datatilsynet. Det er også uklart hvem er gitt dette ansvaret i kommunen. Systemansvarlige vi har snakket med forutsetter at leverandøren eller Midt-Telemark IKT sørger for at kommunen oppfyller dette kravet. Det er ikke utarbeidet en samlet oversikt over applikasjoner med lisenser, antall brukere og om lisensen gjelder absolutte brukere eller samtidige brukere. I følge Midt-Telemark IKT er applikasjonene som kommunen benytter oftest regulert etter lisensavtaler og kommunen kjøper antall brukeridenter etter behov. De ansatte vi har snakket med har en bevisst holdning til skjerming av informasjon, både internt mellom ansatte og ut av kommunen. Dette gjelder spesielt de som behandler sensitiv informasjon i sitt arbeid i kommunen. 4.3 Revisors vurderinger Kommunen må selv vurdere når behandlingen av personopplysninger er meldepliktige og når behandlinger er konsesjonspliktige. Datatilsynet gir veiledning for når kommunene må søke konsesjon eller gi melding i forbindelse med personopplysninger. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet. 17 Datatilsynet har i forbindelse med veilederen gitt ut en liste med noen eksempel over hvilke etater/virksomheter i kommunen som har fritak fra konsesjon med hjemmel i lov, se tabell 1. Tabell 1: Datatilsynets liste over hvilken lovhjemmel som bare krever melding. Listen er ikke uttømmende. Unntaket fra konsesjonsplikten gjelder bare så langt behandlingene skjer innenfor rammen i de forskjellige lovene. Etat/virksomhet Hjemmel i lov Barnevern Barnevernlova 3-1(jf. kap. 4) Sosialtjenesten Sosialtjenesteloven 2-1 (jf. kap. 4, 5 og 6) Rusmiddeletaten Sosialtjenesteloven kap. 6 PP-tjenesten Opplæringsloven 13-5, 1.ledd, jf. 5-6 17 Datatilsynet, 25.11.2006. Konsesjons- eller meldeplikt for kommunene (artikkel), Datatilsynet Telemark kommunerevisjon IKS 8
Familievernkontor Kontantstøtte-register: Kommunens register over barn som oppfyller vilkårene for kontantstøtte. Kommunehelsetjenestens behandlingsrettede register (journal)/pasientadministrasjon innen rammen av helsepersonelloven 26. Familievernkontorloven 11, jf. 1 Barnehageloven 8a Helsepersonelloven 26 og 39 Om kommunen ikke har rutiner for behandling av meldeplikt og konsesjonsplikt er det et brudd på personopplysningsforskriften 3-1 3. ledd bokstav f. Det er viktig at ansvaret for meldeplikten og konsesjonsplikten plasseres tydelig, slik at det ikke er tvil om hvem som har ansvaret for dette. De fleste programvarene i kommunen er lisensbaserte. En lisensavtale er et bevis på at kommunen har rett til å bruke programvaren. Noen av lisensavtalene har krav om antall brukere av programvaren. Kommunen bør derfor ha en oversikt over hvor mange brukere det er som har tilgang til programvaren. Om det er krav til et fast antall brukere av en programvare, bør den IT-ansvarlige enten nekte å gi tilgang til flere brukere eller utvide lisensen for antall brukere. Det siste kan føre til økte lisenskostnader. Vi har ikke gått gjennom kommunens lisensavtaler, men mener med bakgrunn i den informasjon vi har mottatt, at kommunen har nødvendige lisenser for deres datasystem/programvarer. Det virker som at kommunen er klar over og tar hensyn til opphavsretter. 4.4 Konklusjon Med bakgrunn i informasjonen vi har mottatt, kan vi si at kommunen overholder kontraktsmessige krav. Kommunen burde likevel vurdere å utarbeide en fullstendig oversikt over lisensavtaler og brukere, noe som også kan lette arbeidet med administrasjonen av avtalene. Kommunen har ikke etablert rutiner som ivaretar meldeplikt og konsesjonsplikt overfor Datatilsynet. Vi kan ikke slå fast om meldeplikten til Datatilsynet faktisk er overholdt, da det er uklart hvem som har ansvar, og melding/konsesjon ikke er dokumentert. Manglende dokumentasjon er et brudd på plikten til internkontroll etter personopplysningsloven og personopplysningsforskriften. De ansatte har en bevisst holdning til behandling av informasjon, spesielt sensitiv informasjon. 4.5 Anbefaling Kommunen bør utarbeide en fullstendig oversikt over fagsystemene som viser hvilken lovhjemmel for saksbehandling den enkelte enheten benytter, om det trengs konsesjon eller melding, type lisens og antall brukere. Kommunen bør avklare om meldeplikten til datatilsynet er overholdt. Kommunen bør etablere internkontroll for å sikre at meldeplikten og andre plikter etter personopplysningsloven blir overholdt. Telemark kommunerevisjon IKS 9
5 Sikrer virksomhetens organisering og etablerte sikkerhetstiltak en god IT-sikkerhet? 5.1 Revisjonskriterium Hva som er kommunens politikk for informasjonssikkerhet bør være kjent for alle ansatte i kommunen. Kommunen bør utarbeide klare retningslinjer for informasjonssikkerhet. Behandling av personopplysninger er for kommuner regulert i personopplysningsloven og helseregisterlova, der henholdsvis 13 og 16 stiller krav til sikring av personopplysninger og krav til dokumentert internkontroll. Den som har ansvaret for behandling av opplysningene er normalt representert ved administrativ ledelse. Ansvaret innebærer og at det settes av tilstrekkelige ressurser, både med tanke på personell og økonomi, slik at tilfredsstillende informasjonssikkerhet blir opprettholdt. Samarbeid mellom parter og leie av personell som utfører oppgaver kommunen ikke kan utføre selv, bør være regulert i en avtale. Informasjonssystemet skal 18 benyttes i samsvar med faste rutiner. I den grad det er nødvendig for å oppnå tilfredsstillende informasjonssikkerhet, skal det være skriftlige rutiner for bruk, drift og vedlikehold av utstyr eller program. Dette for å sikre at alle aktiviteter som er viktige for sikkerheten gjennomføres og at arbeidsoppgavene blir utført likt hver gang. Rutinene skal ha en detaljeringsgrad som er tilpasset kommunens behov og skal vise: - ansvar for at arbeidsoppgaven blir utført - ansvar for utarbeidelse og vedlikehold av rutinen - tidspunkt for utføring av arbeidsoppgaven - hva slags aktivitet som skal gjennomføres - hva slags resultat en skal oppnå og hvordan dette blir rapportert i organisasjonen 5.1.1 Organisering Kommunen må etablere klare ansvars- og myndighetsforhold slik at det kommer klart fram hvem som har fått delegert oppgavene. 19 Dette bør være dokumentert slik at de ansatte kjenner og følger faste rutiner for bruk av informasjonssystemet, og gjennomføring av de sikkerhetstiltakene ansatte selv er ansvarlig for. Samme gjelder også for ansatte og personell som er leid inn for å utføre drift og vedlikehold, dvs. at de utfører arbeidet i samsvar med faste rutiner. Ansvaret for utarbeidelse av rutiner kan delegeres til den som er best kjent med arbeidsoppgavene. I følge datatilsynet 20, kan eksempler på organisatoriske tiltak være å etablere klare ansvars- og myndighetsforhold i organisasjonen, sørge for tilfredsstillende kompetanse blant de ansatte, og bare gi tilgang til personopplysninger i den grad det er nødvendig for å utføre pålagte oppgaver. Det bør lagas rutiner for hvordan tiltakene skal evalueres. Arbeidsdeling er et av de viktigste tiltakene en kan gjøre for å motvirke mislighold. 21 Det er og viktig å ha klare ansvarslinjer, slik at alle ledere og medarbeidere vet hvem som har ansvaret for de forskjellige funksjonene. 18 Avsnittet er basert på: Datatilsynet, 2005. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, s. 37-39 19 Datatilsynet, 2005. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, s. 8. 20 Ot.prp.nr. 92 (1998-1999) om behandling av personopplysninger kapittel 2 Til 13 Informasjonssikkerhet 21 Døssland, E. og Olsen, A.B., 17./18.10.2007. Forebygging av misligheter, Norges interne revisorers forening, (Kursmateriell) Telemark kommunerevisjon IKS 10
5.1.2 Sikkerhetstiltak Det bør være etablerte rutiner for tilgangskontroll, sikkerhetskopiering, konfigurasjonskontroll, avviksbehandling, leverandører/parter/konsulentoppdrag. Det bør være krav til kompetanse hos de som arbeider med IT i kommunen. Det bør videre være rutiner for vedlikehold og for oppdatering av programvare som håndterer viruskontroll. I personopplysningsforskriften 2-14 og 2-16 står det: Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være avgrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres. Rutiner for bruk av informasjonssystemet og annen informasjon av betydning for informasjonssikkerheten, skal dokumenteres. Datatilsynets rettledning for tynne klienter 22 anbefaler at det konfigureres soner og sikkerhetsbarrierer. Følgende avsnitt er hentet fra rettledningen 23 : Soner benyttes som et grunnleggende prinsipp i sikkerhetsarkitekturen. En sone utgjør en del av et informasjonssystem og deles for eksempel opp etter behov for skjerming av ulike personopplysninger. Soner opprettes også basert på behovet for tilgangsstyring og segmentering av brukerne. Trafikk fra sikker sone skal alltid være initiert fra innsiden av barrieren. For å avgrense tilgangen til personopplysninger, kan det være hensiktsmessig å benytte følgende soner internt i en virksomhet: Sikret/lukket sone; hvor sensitive personopplysninger behandles(ved behov opprettes flere sikrede soner i virksomheten, for eksempel dersom dette understøtter taushetsplikt bedre). Den enkelte sikrede sone er teknisk avskilt fra resten av det interne nettverk og eventuelle andre sikrede soner, foruten mot eksterne nettverk. Intern/åpen sone; hvor ikke-sensitive personopplysninger behandles. Denne kan også omfatte andre opplysninger i virksomheten som ikke skal eksponeres eksternt. Mellom eksternt nettverk og sikret sone hvor sensitive opplysninger behandles skal det være flere sikkerhetsbarrierer. Sikkerhetsbarrierene skal inneholde funksjoner for: Nettverkskontroll; som regulerer informasjonsflyten mellom eksternt nettverk og virksomhetens ulike soner, herunder hva slags nettverks- og applikasjonsprotokoller som kan benyttes. Tilgangskontroll; som muliggjør kontroll og avgrensing på applikasjonsnivå med det formål å: o Verifisere at det er den tillatte tjenesten som faktisk nyttes o Hindre at tjenesten for initiering av aktiviteter som ikke er tillatt og ikke er del av tjenesten selv o Kontrollere og avgrense funksjonaliteten i tjenestene etter behov o Forhindre utnyttelse av kjente svakheter i tjenestene Det skal ikke være mulig for medarbeidere å endre konfigurasjonen uten autorisasjon. Dette skal være dokumentert. Det bør være en hensiktsmessig delegering av ansvaret for 22 Teknisk sikkerhetsløsning hos brukeren skal bidra til å hindre uautorisert utlevering av sensitive personopplysninger ved utilsiktet overføring av data mellom program, eksempelvis ved bruk av klipp og lim - funksjon. 23 Datatilsynet, 2005. Veileder for bruk av tynne klienter, Datatilsynet Telemark kommunerevisjon IKS 11
sikkerheten, inkludert tilgangskontroll, overvåking, opplæring mm. Brukerne bør tildeles tilgang etter behov. Når kommunen benytter hjelp fra en tredjepart, for eksempel en konsulent eller underleverandør, bør det være en avtale som klart definerer ansvar/rettigheter. Det bør også være en tilgangskontroll som gjør at tredjepart bare får de tilgangene som trengs i en avgrenset periode. Med bakgrunn i ovennevnte utredning blir revisjonskriteriene slik: Det bør være klare ansvars- og myndighetsforhold i kommunen. Det bør være en arbeidsdeling som sikrer tilfredsstillende kompetanse hos de ansatte og mindre sårbarhet ved sykdom eller annet fravær. Det skal være skriftlige sikkerhetstiltak som sikrer en god IT-sikkerhet. 5.2 Funn og fakta 5.2.1 Organisering Samarbeidet om IKT mellom Bø, Nome og Sauherad kommuner er organisert som en felles avdeling organisert etter kommunelovens 27 om interkommunalt samarbeid. 24 Kontorkommune er Bø og avdelingen heter Midt-Telemark IKT. Samarbeidet omfatter all innkjøp, drift og vedlikehold av kommunens tekniske anlegg og programvare knyttet til informasjons- og kommunikasjonsteknologi, herunder også telefonisystemene. På forespørsel utarbeidet Midt-Telemark IKT en oversikt over hvilke IT-system kommunen har og hvem som er ansvarlig for dem, jf. 4.2. Oversikten vi er fått er mangelfull og viser at det ikke var en fullstendig oversikt over hvem som hadde ansvaret for noen av fagsystemene. Delegering av ansvar følger ansvarshierarkiet i kommunen og er naturlig fordelt etter hvilke oppgaver de ansatte har i hverdagen. De ansatte vi har snakket med har stort sett vært klar over sitt ansvar og hvilken myndighet de har blitt delegert. Det var imidlertid uklart om det er systemansvarlig, leverandøren eller Midt-Telemark IKT som er gitt ansvaret for å gi melding til Datatilsynet. De ansatte har i varierende grad blitt tatt med i prosessen med å velge nye fagapplikasjoner. Noen ansatte har deltatt i grupper med representanter fra alle kommunene i Midt-Telemark, hvor beslutningen om ny fagapplikasjon har blitt tatt med bakgrunnen i innspill fra gruppen. Andre har opplevd at de får en ny applikasjon som følge av at en eller flere av Midt-Telemark kommunene har applikasjonen fra før. 5.2.2 Tilgangskontroll Kommunen har installert brannmurer for å forebygge uautorisert tilgang. Midt-Telemark IKT opplyste i møte at de har kjøpt en ny versjon av brannmuren som de skulle implementere i løpet av kort tid. Den nye versjonen skal håndtere nye former for trusler på en bedre måte og det følger med en vedlikeholdsavtale som medfører at brannmuren er oppdatert. Unaturlig trafikk, det vil si forsøk på angrep utenifra, blir håndtert av brannmuren og angrepene blir 24 Avsnittet basert på dokumentene: Viljeserklæring for samarbeidet mellom Bø, Nome og Sauherad kommuner og Vedtekter for regional IKT avdeling i Midt-Telemark. Telemark kommunerevisjon IKS 12
registrert i systemet. Det er ikke noen faste rutiner for gjennomgang av dette registeret (loggen). Virus og spam stoppes av antivirusprogrammet Trend. Norman brukes foreløpig på internett, men også her vil de etter hvert bruke Trend. Trend blir oppdatert automatisk. Midt-Telemark IKT mener de har grei kontroll på virus og spam i kommunene. Hovedsakelig brukes det tynne klienter i kommunen, spesielt i sikker sone. Et unntak er PPtjenesten, som har bærbare PCer. For å kunne logge seg på sikker og åpen sone må imidlertid de ansatte være fysisk tilstede for å koble seg på fagapplikasjonene. Fra sikker sone er det ikke mulig å bruke USB-innganger 25. Det er innført ekstra sikkerhetsbarrierer for brukerne som arbeider med applikasjoner i sikker sone. Det er ikke mulig å benytte applikasjoner i åpen og sikker sone samtidig, heller ikke kopiering mellom sonene. Annen sensitiv informasjon om pasienter/klienter som skal formidles mellom enhetene skjer via post eller muntlig beskjed. Sensitiv informasjon blir ikke sendt ut via e-post, men ansatte har opplevd at pårørende/foresatte har sendt sensitiv informasjon via e-post til dem. Hvordan de forskjellige fagsystemene har organisert tilgangen varierer, men tilgang blir gitt i samsvar med kompetanse og arbeidsplassen til brukeren. Applikasjonene som brukes i sikker sone kan ofte gradere tilgangen veldig detaljert, og eksempelvis i Profil, har de egne kategorier som leger, psykiatri og sykepleier, hvor en har de tilgangene en trenger i forhold til funksjon. Systemansvarlig gir de ansatte den tilgangen de trenger i systemet. Ved endring av arbeidsoppgaver er det stort sett rutine å endre tilgangen etter behov. I noen systemer har det ikke vært gode rutiner for melding til IT-ansvarlig om sletting av tilgang i systemet. Vi kjenner til at det fremdeles er brukeridenter på tidligere ansatte i kommunen i noen fagapplikasjoner. Alle systemansvarlige benytter heller ikke muligheten til å sette ansattes tilgang som passiv i perioder med langvarig sykefravær eller permisjoner. Alle ansatte har en egen profil i nettverket til kommunen. Denne profilen er passordbeskyttet. For å komme inn på et av fagsystemene må de ansatte ha tilgang og bruke et eget passord, samt bytte passordet første gangen de logger seg på. På denne måten er det kun den ansatte som vet passordet. Systemansvarlig kan ikke se passordet og må derfor nullstille passordet dersom ansatte glemmer passordet sitt. 5.2.3 Fysisk sikring Tilgang til serverrom og kabelrom var tilstrekkelig sikret da vi kontrollerte det. De vi snakket med i Midt-Telemark IKT mener Midt-Telemark har servere på for mange steder. Samtidig er det en sårbarhet ved brann dersom mange applikasjoner lagres på serverne med bare en lokasjon. Midt-Telemark IKT sier de får melding på mobil om nettet er nede og blir varslet på e-post om feil. De mener likevel den tekniske overvåkingen av nettverk og servere kunne vært bedre. Plassering av skrivere, rutiner for henting av dokumenter blant de ansatte og tilgang til kontor gir tilstrekkelig tilgangskontroll. Et unntak har vært skrivertilgangen/innstillingene i systemet 25 USB (universell seriebuss) er ein standard for å kople einingar til ei datamaskin. Telemark kommunerevisjon IKS 13
til NAV. I sosialsystemet har de hatt problemer med at dokumenter har blitt skrevet ut på feil skriver. I noen tilfeller var skrivere i lokalet byttet om, men det har også blitt skrevet ut fra Acos Sosial til skrivere andre steder i landet i NAV-systemet. De ansatte ved sosial har vært i dialog med Midt-Telemark IKT og NAV for å løse dette. 5.2.4 Sikkerhetskopiering Rutiner for sikkerhetskopiering er tilstrekkelige, men rutinene er ikke skriftlige. Systemet for oppbevaring av sikkerhetskopier er ikke tilstrekkelig. Midt-Telemark IKT opplyste i møte vi hadde om at et nytt sikkerhetskopieringssystem skulle innføres i løpet av året. 5.2.5 Konfigurasjonskontroll, vedlikehold og nedetid 26 De ansatte kan ikke installere noe på de tynne klientene eller endre på konfigurasjonene, det må gjøres av de IT-ansatte i profilen til den enkelte. Midt-Telemark IKT gjennomfører det meste av oppgraderingene i IT-systemene, men noe skjer via leverandør. Det skjer ofte oppgraderinger ved årsskiftet eller i forkant av ferier. Applikasjonsoppdateringer fører til korte driftsstanser, men eksempelvis bytting av server kan ta lengre tid. I forbindelse med flytting av server fra Ulefoss til Bø, opplyste Midt-Telemark IKT at de hadde utviklet et eget opplegg for denne prosessen. Midt-Telemark IKT sier de er i tett dialog med brukerne angående oppgraderinger og varsler nedetid for nettet. En vi intervjuet er ikke helt fornøyd med vaktberedskapen for å unngå nedetid. Han mener beredskapen i helgene er ikke god nok. Eksempelvis kan de ikke ha driftsstans innen pleie og omsorg over helgen, og er derfor avhengig av vaktberedskap i helgene. 5.2.6 Avvikshåndtering Det er ikke rutiner eller føringer for avvikshåndtering (innen IT) i kommunen. Noen områder, eksempelvis de som bruker Profil, har egne rutiner for avvikshåndtering, men disse er enhetsspesifikke og er ikke direkte overførbare til resten av kommunen. Det gis opplæring i bruk av systemene. En skal eksempelvis ikke låne brukarnavn og passord av hverandre. For noen fagsystem er det særskilte rutiner for overstyring av tilgang til opplysninger i systemet. Det loggføres hva brukerne gjør i systemet og eventuelle overtramp vil kunne spores tilbake til personen gjennom brukarnavnet. I systemet må den ansatte forklare hvorfor han/hun har overstyrt tilgangen, og leder skal følge opp dette. 5.2.7 Leverandører/tredjeparter Leverandører av fagapplikasjoner har i utgangspunktet ikke tilgang til kommunens programmer, verken i sikker eller åpen sone. Dersom leverandørene må gjøre oppdateringer i systemet, må Midt-Telemark IKT åpne en midlertidig linje for leverandøren. Når arbeidet er ferdig, fjernes tilgangen til leverandøren. De systemansvarlige vi snakket med, sa de kunne se hva leverandøren gjorde på skjermen, slik at de kunne kontrollere at leverandøren kun benyttet den informasjonen som var nødvendig for å gjøre arbeidet sitt. Ofte får brukerne av systemene råd/brukerstøtte over telefonen, slik at det ikke er nødvendig at noen utenfor kommunen trenger å få tilgang til systemet. 26 En situasjon hvor brukerne ikke har tilgang til eller kan bruke program på vanlig måte Telemark kommunerevisjon IKS 14
Underleverandørene må ifølge dem vi snakket med underskrive taushetserklæring. 5.3 Revisors vurderinger 5.3.1 Organisering Det framstår også som litt uklart hvordan ansvarsdelingen mellom Midt-Telemark IKT og deltakerkommunene er. Etter personopplysningsloven er det behandlingsansvarlige, det vil si kommunen, som har ansvaret for å etterleve meldeplikten og alle de andre pliktene etter personopplysningsloven overfor Datatilsynet. Vi har ikke sett dokumentasjon hvor ansvaret for meldeplikt og konsesjonsplikt er avtalt. Overfor Datatilsynet er kommunen ansvarlig, uavhengig av hva kommunen avtaler med en annen part. Et viktig grep for å motvirke mislighold er arbeidsdeling. Fordi delegering av ansvar i kommunen følger ansvarshierarkiet og er naturlig fordelt etter hva slags oppgaver de ansatte har i hverdagen, har kommunen gjort et viktig grep for å forhindre mislighold. God arbeidsdeling gjør også kommunen mindre sårbar ved sykdom. Det er viktig at de ansatte og systemansvarlige har mulighet til å delta og komme med innspill om valg av IT-program i kommunen. For å oppnå enighet blant de ansatte om avgjørelser, er det viktig at medarbeiderne føler at prosessen rundt avgjørelsene skjer på en riktig og rettferdig måte at prosedyrene oppfattes som rettferdige. Dette vil føre til at de ansatte blir fornøyd med avgjørelsene som blir tatt. 27 5.3.2 Sikkerhetstiltak Kommunen har en del rutiner på plass, men de er ikke nedfelt i et dokument. Eksempelvis har kommunen rutiner for sikkerhetskopiering. Skriftlig rutine for sikkerhetskopiering bør utarbeides og i rutinen bør det beskrives: - hvordan sikkerhetskopiering skal utføres - hvem som har ansvaret for kopieringen - hvilke data som skal kopieres - kopieringstidspunkt og intervall - lagring av reservekopi og skildring av lagringsmedium og sikring av dette - metode for gjenoppretting av normal drift ved bruk av sikkerhetskopier. Andre sikringstiltak er også på plass. Kommunen har blant annet brannmur, viruskontroll strenge tilgangskontroller for brukere i sikker sone, etablerte og offentlig godkjente programvarer. Men det at kommunen ikke har rutiner for gjennomgang av registeret for unaturlig trafikk, jf punkt 5.2.2, er et brudd på Datatilsynets Veiledning i informasjonssikkerhet for kommuner og fylker. Den sier: Det skal utarbeides rutine for gjennomgang av hendelsesregistre som omfatter: hvem som skal ha ansvar for å gjennomgå registreringene hvor hyppig registreringene skal gjennomgås beskrivelsene av unormale aktivitetsmønstre som bør understrekes hvordan etterkontroll av unormale aktivitetsmønstre bør foretas hvordan eventuelle sikkerhetsbrudd eller mistanke om slikt skal følges opp hvem som har ansvar for sletting av registreringer ved lagringstidens utløp. 27 Kim, W. C. og Mauborgne, R. 1998. Procedural Justice Decision Making and the Knowledge Economy. Strategic Management Journal, 19, 323-338. Telemark kommunerevisjon IKS 15
Formålet med avvikshåndtering er å lukke avvik, gjenopprette normal tilstand/drift, og hindre gjentakelse. Om det ikke er samsvar mellom faste rutiner og hvordan informasjonssystemet benyttes, skal resultatet fra avviksbehandlingen benyttes som grunnlag ved gjennomgang og endring i de aktuelle rutinene. Den som oppdager avvik har plikt til å rapportere dette skriftlig. Kommunen bør derfor ha en rutine for behandling av avvik og en jevnlig sikkerhetsrevisjon for å forbedre områder som ikke fungerer og ta tak i nye utfordringer innen IT. Sauherad er en mindre kommune med små ressurser. Å inngå samarbeid med andre kommuner for å forenkle driften av datasystemene, øke kompetansen, redusere driftsutgiftene og gjøre driftsmiljøet mindre sårbart er derfor et viktig grep for å utnytte ressursene best mulig. For å sikre at tilgangen til datasystemet er begrenset til de som trenger tilgangen, bør tilganger slettes umiddelbart når ansatte slutter. Dette gjelder også ansatte ved langvarig sykdom og permisjoner. På denne måten kan kommunen også unngå å betale for tilganger i fagapplikasjoner de ikke trenger. Når de ansatte hos underleverandørene skriver under en taushetserklæring, vurderer vi dette som tilstrekkelig med tanke på deres rolle som underleverandør 5.4 Konklusjon Rutinene for tilgangskontroll, sikkerhetskopiering og konfigurasjonskontroll er jevnt over god i Sauherad kommune, men det mangler en del dokumentasjon. Vi har opplevd noe usikkerhet hos systemansvarlige om deres ansvar, spesielt om meldeplikt og konsesjonsplikt til Datatilsynet. Den fysiske sikringen av data i kommunen som helhet er noe svak, men spesielt der hvor de behandler sensitive opplysninger er det etablert gode fysiske sikringstiltak. Avviksbehandling varierer en del i kommunen og det bør vurderes om dette også nedfelles i rutiner. Vi kan gjennom våre kontroller konkludere med at IT-sikkerheten jevnt over er god mot leverandørene (av IT-systemer/applikasjoner) til Sauherad kommune. Så langt revisor har fått kjennskap til, har de bare de tilgangene de trenger. 5.5 Anbefaling Kommunen bør utvikle skriftlige rutiner for IT-behandling i de virksomhetene hvor dette ikke finnes i kommunen i dag. Tilganger til fagapplikasjoner bør slettes umiddelbart når en ansatt slutter og tilgangen til ansatte ved langvarig sykdom eller permisjoner bør settes som passiv. Ansvar og myndighet for oppgaver i kommunen bør tydelig plasseres. Prosesser ved omlegging/valg av nye applikasjoner/system bør være tilrettelagt for medvirkning fra kommunens ansatte. Telemark kommunerevisjon IKS 16