IT-sikkerheit - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: 729 007 2007 Telemark kommunerevisjon IKS
Innhald Samandrag...iv 1 Innleiing...1 1.1 Bakgrunn...1 1.2 Problemstillingar...1 1.3 Avgrensing...1 2 Metode...2 2.1 Val av metode...2 2.2 Kvalitetssikring...2 3 Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere tilstrekkelege sikkerheitstiltak?...3 3.1 Revisjonskriterium...3 3.2 Funn og fakta...3 3.3 Revisor sine vurderingar...4 3.4 Tilråding...6 4 Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem?...6 4.1 Revisjonskriterium...6 4.2 Funn og fakta...7 4.3 Revisor sine vurderingar...8 4.4 Tilråding...9 5 Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål?...10 a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi?...10 5.1 Revisjonskriterium...10 5.2 Funn og fakta...11 5.3 Revisor sine vurderingar...11 5.4 Tilråding...12 b) Er det klare ansvars og myndeforhold?...12 5.5 Revisjonskriterium...12 5.6 Funn og fakta...12 5.7 Revisor sine vurderingar...13 5.8 Tilråding...13 c) Er det etablert sikkerheitstiltak?...14 5.9 Revisjonskriterium...14 5.10 Funn og fakta...15 5.11 Revisor sine vurderingar...17 5.12 Tilråding...18 Telemark kommunerevisjon IKS ii
d) Er det etablert sikkerheit i høve til tredjepartar?...18 5.13 Revisjonskriterium...18 5.14 Funn og fakta...18 5.15 Revisor sine vurderingar...19 6 Oppsummering og totalkonklusjon...19 Litteratur og kjeldereferansar...20 Vedlegg...22 Telemark kommunerevisjon IKS iii
Samandrag Rapporten IT-sikkerheit er gjennomført som forvaltningsrevisjon og er ein del av vedtatt plan for forvaltningsrevisjon 2004-2007. Bakgrunnen for prosjektet er at kommunen hadde eit innbrot der mellom anna edb-utstyr blei stole. Formålet med prosjektet er å undersøke om sikkerheita omkring IT er tilstrekkeleg god. Prosjektet kan medverke til at eventuelle manglar i systemet blir avdekka. Vi har med bakgrunn i bestillinga utforma ei overordna problemstilling: Har kommunen etablert tilfredstillande IT-sikkerheit, ved at informasjonen er sikra konfidensialitet, integritet og tilgjengelegheit? Den overordna problemstillinga blei delt i fleire underproblemstillingar. Problemstillingane er basert på NS-ISO/IEC 17799 (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er ein standard fastsett av Norges Standardiseringsforbund. Revisor har i all hovudsak henta inn opplysningar gjennom intervju og dokumentanalyse. Vi har hatt intervju med IT-ansvarlege i Kviteseid, Tokke og Vinje kommunar. Vi har og intervjua systemansvarlege for IT-systema i Kviteseid kommune, samt ein medarbeidar i Nissedal kommune. Våre undersøkingar viser at konfidensialiteten er delvis sikra. Det vil seie at det manglar overordna sikkerheitsdokument, at det til dels er uklare myndeforhold og at det ikkje er avviksrapportering. Men det er gode tilgangskontrollar og tryggleiken i samband med underleverandørar er tilstrekkeleg. Kontraktsmessige krav er overhalde, men vi meiner at ansvarsdelinga i samband med pliktig melding til datatilsynet er noko uklar. Integriteten er delvis sikra. Manglande overordna sikkerheitsdokument og avviksrapportering gjer at vi ikkje kan konkludere med at integriteten heilt ut er sikra. Tilgjengelegheita er delvis sikra. Det vil seie at det manglar overordna sikkerheitsdokument, risikovurderingane er ikkje dokumentert og den fysiske sikringa er ikkje tilstrekkeleg. Derimot er rutinar for sikkerheitskopiering og samarbeid med underleverandørar god. Vår konklusjon er derfor at kommunen delvis har etablert tilfredstillande IT-sikkerheit, men bør utvikle overordna dokument for IT-sikkerheit. Samarbeid med andre kommunar gjev god utnytting av knappe ressursar, både med tanke på økonomi og kompetanse. Telemark kommunerevisjon IKS iv
Vi har følgjande tilrådingar til kommunen: Kommunen bør utarbeide ei risikovurdering for dei einskilde fagapplikasjonar som kommunen nyttar i si sakshandsaming. I dokumentasjonen bør det kome fram eit resultat av vurderinga som samsvarer med gjeldande krav/reglar og kva som er akseptabel risiko. Kommunen bør samtidig utarbeide ei rutine for når ei risikovurdering skal gjennomførast. Kommunen bør utarbeide eit overordna dokument som inneheld sikkerheitsmål, strategi og organisering. Dokumentet bør og innehalde beredskapsplanar som dekker katastrofesituasjonar. Kommunen bør utvikle rutinebeskrivingar som er tilpassa IT-systemet i eigen kommune. Serverrom bør sikrast slik at det blir brannsikkert. Kommunen bør utarbeide ei fullstendig oversikt over fagsystema som synar kva slags lovheimel for sakshandsaming den einskilde sektor nyttar, om det trengs konsesjon eller melding, type lisens og tal på brukarar. Kommunen bør og avklare om meldeplikta til datatilsynet er overhalde. Kommunen bør klargjere ansvarsfordelinga/oppgåvefordelinga i kommunen. Dei tilsette bør delta i prosessar med omlegging/val av nye system. Skien, 4. mars 2008 Telemark kommunerevisjon IKS Alf Olav Uldal forvaltningsrevisor Marianne Rogn revisor Telemark kommunerevisjon IKS v
1 Innleiing Rapporten IT-sikkerheit er gjennomført som forvaltningsrevisjon. Heimel for forvaltningsrevisjon er gjeve i kommunelova 77 nr. 4, med nærare vilkår i forskrift om kontrollutval kap. 5 og forskrift om revisjon kap. 3. 1 Dette prosjektet er gjennomført etter vedtatt plan for forvaltningsrevisjon 2004-2007. Rapporten blir oversendt kontrollutvalet som vidare skal gje rapport til kommunestyret om kva for forvaltningsrevisjonar som er gjennomført og om resultata av desse, jf. forskrift om kontrollutval 11, og forskrift om revisjon 8. 1.1 Bakgrunn Bakgrunnen for prosjektet var at kommunen hadde eit innbrot der mellom anna edb-utstyr blei stole. Formålet med prosjektet er å undersøke om sikkerheita omkring IT er tilstrekkeleg god. Prosjektet kan medverke til at eventuelle manglar i systemet blir avdekka. 1.2 Problemstillingar Vi har med bakgrunn i bestillinga utforma ei overordna problemstilling: Har kommunen etablert tilfredstillande IT-sikkerheit, ved at informasjonen er sikra konfidensialitet, integritet og tilgjengelegheit? For å kunne svare på dette spørsmålet, har vi utforma følgjande problemstillingar: 1) Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere sikkerheitstiltak? 2) Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? 3) Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål? a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? b) Er det klare ansvars og myndeforhold? c) Er det etablert sikkerheitstiltak? d) Er det etablert sikkerheit i høve til tredjepartar? I denne forvaltningsrevisjonsrapporten er revisjonskriteria satt opp for kvar problemstilling og dei kan i mange tilfelle oppfattast som overlappande. Problemstillingane er basert på NS-ISO/IEC 17799 (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er ein standard fastsett av Norges Standardiseringsforbund. 1.3 Avgrensing Prosjektet er tidsmessig avgrensa til 2007. Vi har ikkje evaluert dei einskilde tekniske løysingane, men har vald å sjå korleis rutinar og styrande dokument kring IT fungerar. 1 Jf. forskrifter av 15. juni 2004. Telemark kommunerevisjon IKS 1
2 Metode 2.1 Val av metode Før arbeidet starta, hadde vi møte med økonomisjef og IT-ansvarleg i kommunen for å innhente bakgrunnsinformasjon og faktaopplysningar, og orientere nærare om gjennomføringa av prosjektet. Revisor har i all hovudsak henta inn opplysningar gjennom intervju. Vi har hatt intervju med IT-ansvarlege i Kviteseid, Tokke og Vinje kommunar. Vi har og intervjua systemansvarlege for IT-systema i kommunen sektorleiar helse og oppvekst (per telefon og e-post), sosialleiar, einingsleiar heimetenesta, arkivansvarleg, systemansvarleg for Profdoc og Winmed helse. Vi har og snakka med medarbeidar i Nissedal kommune som er ansvarleg for lønssystemet i Kviteseid kommune. På førehand utarbeida vi intervjuguidar 2 for å standardisere spørsmåla, sjå vedlegg 1. Intervjua blei likevel gjennomført slik at kvar einskild respondent 3 kunne koma med tilleggsopplysningar. Styrken ved denne intervjuforma er at ein held seg til tema og får ein viss struktur i intervjuet, samtidig som det opnar for individuelle skilnader. Vi har hatt ein generell gjennomgang av aktuelle dokument i saka for å innhente naudsynte opplysningar. Dette gjeld interne dokument som til dømes retningsliner og relevant regelverk. Vi har inspisert serverrom og andre rom der data blir handsama og lagra i Kviteseid, Tokke og Vinje kommunar. 2.2 Kvalitetssikring Rapporten er sendt til Kviteseid kommune v/ rådmannen som ei kvalitetssikring i høve til faktaopplysningar og som ein moglegheit for administrasjonen til å gje kommentarar til innhaldet før politisk handsaming. Kommentarane frå rådmannen følgjer rapporten som vedlegg 6. Revisjonen sin kommentar til attendemeldinga frå administrasjonen: Vi baserte det vi skreiv i bakgrunnen for revisjonen på kva som stod i bestillinga frå kontrollutvalet. Vi har likevel forandra på ordlyden slik at den er i samsvar med administrasjonen sine ønskjer, og slik at det ikkje blir nokon mistydingar. 2 Hugseliste over tema som skal tas opp i eit intervju 3 Deltakar i ei spørjeundersøking/intervju Telemark kommunerevisjon IKS 2
3 Er risikoen vurdert ved ein systematisk gjennomgang for å identifisere truslar og etablere tilstrekkelege sikkerheitstiltak? Risikovurdering er utgangspunktet for eitkvart arbeid med å sikre tryggleiken. Det er ein føresetnad for å avdekkje sårbare punkt og setje i verk sikringstiltak. Formålet med risikovurdering er å undersøke hvorvidt den risiko som avdekkes er innenfor de akseptkriterier virksomheten har fastlagt. Risikovurderingen danner grunnlag for iverksetting av nødvendige sikkerhetstiltak, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4 Nokre opplysningar i datasystemet krev særskilde sikringstiltak, som til dømes personopplysningar. Jf. personopplysningsloven 5 13, 1.ledd står det: Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Jf. 2-4, 2. og 5. ledd: Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal dokumenteres. Risiko kan målast i to storleikar: kor sannsynleg det er at noko skjer og kva slags konsekvensar denne hendinga kan få. Ei risikovurdering skal resultere i: - oversikt over identifiserte truslar - vurdering av kor sannsynleg det er at ei uønska hending skal skje - vurdering av konsekvensar av ei uønska hending - vurdering av kva slags effekt sikkerheitstiltaka vil ha i høve til risiko - vurdering av kva slags sikkerheitstiltak kommunen treng for det einskilde informasjonssystem Ei risikovurdering skal vere eit styringsreiskap for den som har ansvaret for informasjonstryggleiken. 3.1 Revisjonskriterium Det bør vere dokumentasjon på at det er utført ei systematisk risikovurdering. Risikovurderinga skal beskrive risiko som vert avdekka og samanlikne dette med det som er definert som akseptabelt risikonivå. Restrisiko skal handterast ved hjelp av sikkerheitstiltak, anten for å redusere konsekvensane eller sannsynet for uønska hendingar. Revisjonskriterium er ei samlenemning på reglar og normer som gjeld innafor det området som blir undersøkt. Kriteria ligg til grunn for dei vurderingar og konklusjonar som vert gjort. 3.2 Funn og fakta Kviteseid kommune har ikkje utarbeidd eit eige dokument for vurdering av risiko og vurdert kva som er akseptabel risiko for dei einskilde fagapplikasjonane. Kommunen har heller ikkje 4 Datatilsynet, 2005. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet 5 Lov 14.04.2000 nr. 31 om behandling av personopplysninger Telemark kommunerevisjon IKS 3
utarbeidd beredskapsplanar der IT-tryggleik er integrert. I dokumentet Datasikkerhet rutinebeskrivelser 6 er det eit eige punkt som omhandlar driftsavbrot, men retningslinene dekkjer ikkje katastrofesituasjonar og er heller ikkje tilpassa eigen kommune. Kva slags tryggingstiltak kommunen og deira underleverandørar har sett i verk blir omtala under punkt 5 c. Det er utarbeidd dokumentasjon på sikkerheitsløysingar i kommunen sitt nettverk. Dokumentasjonen er frå 2005. Om det seinare er gjort endringar som kan ha konsekvensar for dokumentasjonen og som burde vore innarbeidd, veit vi ikkje. I vedtekter (samarbeidsavtale) for samarbeid om drift av datasystem mellom kommunane Vinje, Tokke og Kviteseid står det at: Ein skal leggje vekt på å samordne og utnytte ressursar, dele kunnskapar og sikre datatryggleiken i samsvar med gjeldande regelverk (personopplysningslova, kommunelova, arkivlova og Datatilsynets retningslinjer m.m.) Det er i tilknyting til samarbeidet utpeika eit styre der rådmannen frå kvar kommune eller den rådmannen peiker ut, sit. Styret sitt mandat er i høve til avtala. Vedtak som går lengre enn mandatet må godkjennast av dei respektive kommunestyra. I tillegg til organisering og mandatet i avtala, beskriv avtala deltakarkommunane sitt ansvar, praktisk oppgåveløysing, fordeling av kostnader, oppløysing av samarbeidet m.m. Kommunen tek i bruk ein ny applikasjon, Profil, innanfor pleie- og omsorgssektoren. Fagsystemet vil innehalde sensitive personopplysningar. Det er ingen skriftleg dokumentasjon på kva slags personopplysningar som vil bli lagt inn, men vi fekk opplyst at det vil vere nødvendig å legge generelle helseopplysingar inn i systemet. I dokumentet Datasikkerhet rutinebeskrivelser er det retningsliner for klassifisering av personopplysningar. Retningslinene kan nyttast utan særskild tilpassing for kommunen. Det er heller ikkje utarbeidd risikovurdering for dette fagsystemet. Kommunen har og tatt i bruk ein ny versjon av applikasjonen ephorte. Versjonen gjev tilgang til elektronisk arkivering. Det inneber at det ikkje lenger er nødvendig å arkivere dokument i papirversjon, dvs. ei vesentleg endring frå tidlegare versjonar. Det er ikkje gjennomført ei ny risikovurdering ved implementering av denne nye versjonen. 3.3 Revisor sine vurderingar Omgrepet IKT-tryggleik byggjer på desse tre basiseigenskapane: - Integritet at systemet er sikra mot manipulering med systemets funksjon og informasjon. - Tilgjengelegheit at systemet er sikra mot avbrot i den forventa funksjonen og at systemet har tilgang til nødvendig datainnhald. - Konfidensialitet at systemets funksjon og datainnhald er sikra mot innsyn. Tilfeldig svikt eller eit tilsikta angrep mot informasjonen innan ein infrastruktur, vil bestå av eit sett med verkemiddel retta mot ein eller fleire av desse eigenskapane. 7 6 Seltveit, G., 2007. Datasikkerhet - rutinebeskrivelser, Tokke kommune 7 Stortingsmelding nr. 17 (2006-2007) Eit informasjonssamfunn for alle, Stortinget, side 146 Telemark kommunerevisjon IKS 4
Kva slags truslar kan ein kommune bli utsett for? Trusselbiletet kan vere omfattande med tanke på angrep og andre uønska hendingar. Angrep frå internett er lett å sjå for seg og ofte er desse angrepa ikkje retta mot nokon spesielle mål. Det gjeld til dømes virus, ormar, spionprogram og phishing. 8 Desse søkjer automatisk etter system som er dårleg sikra. Det er difor ingen grunn til å tru at ein liten kommune ikkje kan blir råka av eit slikt angrep. Antivirusprogram, brannmurar og snokvarslingssystem er verktøy som ofte blir nytta for å hindre slike angrep. Dokumentasjonen som er utarbeidd for kommunen sitt nettverk i 2005 er kan hende tilstrekkeleg, men det er avhengig av om det berre har vore mindre endringar i ettertid. Har det vore større endringar burde dokumentasjonen vore gjennomgått og oppdatert. Andre truslar som tjuveri, brann og vasslekkasjar kan føre til både driftsavbrot og at informasjon kjem på avvege. Kven kan vere interessert i den informasjonen som ligg i systemet? Kva slags tilfeldige svikt kan vi sikra oss mot og kor lenge kan vi tole eit avbrot? I ei vurdering av risiko bør kommunen skildre dei uønska hendingane som kan skje og kor sannsynleg det er at det skjer. Tekniske løysingar aleine er ikkje alltid godt nok for å sikra seg mot uønska hendingar. Kanskje må ei eller anna form for overvaking til, slik som gjennomgang av tryggingsloggar. Ei vurdering av kor sannsynleg det er at dette kan skje heng samen med nødvendige tryggingstiltak og eventuell beredskapsplan. Dette bør vere beskrive i eit dokument. Det kan og vere aktuelt å utarbeide ein beredskapsplan for å klargjere kva som må til for å gjenopprette drift av nettverk og kva slags fagsystem som fyrst vert prioritert. Personopplysingslova inneheld reglar om informasjonssikring og internkontroll. Leiinga er ansvarleg for å etterkomme sikkerheitskrava. Internkontrollbestemmelsen i 14 innebærer en plikt for den behandlingsansvarlige til å vurdere om det er behov for iverksette tiltak for å oppfylle de krav til behandlingen av personopplysninger som er fastsatt i eller i medhold av lov. Tiltakene skal være planlagte, dvs. de må foreligge på forhånd, primært før behandlingen starter. Tiltakene skal videre være systematiske, noe som innebærer at de skal være resultat av en helhetlig tilnærming og ikke ha karakter av å være tilfeldige. Tiltakene skal ikke minst være dokumenterte, dvs. de må foreligge i en form som gjør det mulig å tilegne seg kunnskap om dem (skrift, tegning, bilder m.v.). 9 Det same gjeld i høve til helseregisterlova. 10 I faktaark 7 11 heiter det; Virksomhetens ledelse er ansvarlig for å gjennomføre risikovurdering av behandling av helse- og personopplysninger. Risikovurdering skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten. I dette faktaarket finn vi mellom anna tilrådingar om korleis risikovurdering av personopplysningar bør gjennomførast. Å gjennomføre ei risikovurdering 12 er ein aktivitet som er avhengig av tilhøva, dvs. at arbeidet settast i gang ved behov. Da kommunen vedtok å innføre eit nytt databasert program innan pleie- og omsorg burde arbeidet med å dokumentere vurdering av risiko starta forholdsvis tidleg. Ved innføring av ny programvare eller versjonar som er vesentleg endra, vil kommunen sannsynlegvis dra nytte av samarbeidsavtala dei har med andre kommunar slik 8 Sjå vedlegg 2 for forklaring av omgrep. 9 Schartum, D.W. 2000. Lov om behandling av personopplysninger, Lov og rett, s 554 10 Lov 18.05.2001 nr 24 om helseregistre og behandling av helseopplysninger, kapittel 3. 11 Sosial- og helsedirektoratet, 07.08.2006. Norm for informasjonssikkerhet i helsesektoren, Sosial- og helsedirektoratet 12 Sjå vedlegg 4 for døme på skjema for risikovurdering.. Sosial- og helsedirektoratet, 28.06.2006. Norm for informasjonssikkerhet i helsesektoren, (støttedokument) Faktaark nr. 7: Risikovurderinger, Sosial- og helsedirektoratet Telemark kommunerevisjon IKS 5
at arbeidet med dokumentasjonen blir så effektiv som mogleg. Vi meiner at dette samarbeidet og bør kunne utnyttast for å få på plass manglande og pliktig dokumentasjon. 3.4 Tilråding Kommunen bør utarbeide ei risikovurdering for dei einskilde fagapplikasjonar som kommunen nyttar i si sakshandsaming. I dokumentasjonen bør det kome fram eit resultat av vurderinga som samsvarer med gjeldande krav/reglar og kva som er akseptabel risiko. Kommunen bør samtidig utarbeide ei rutine for når ei risikovurdering skal gjennomførast. 4 Er alle relevante lovar og kontraktmessige krav tydeleg definert og dokumentert for kvart enkelt informasjonssystem? Kva slags lovar som er relevante er avhengig av kva slags informasjon som skal handsamast. Personopplysningar skal handsamast i samsvar med personopplysningslova og evt. Helseregisterlova, jf forskrift om behandling av personopplysningar 2-4, 1. ledd, 1.setning står det: Det skal føres oversikt over hva slags personopplysninger som behandles. Om kommunen treng konsesjon på einskilde elektroniske personopplysningsregister må vurderast i kvart enkelt høve. Nokre elektroniske register kan opprettast med heimel i lov, som til dømes sosialtenestelova og kommunehelsetenestelova. Kommunen har i alle høve meldeplikt til Datatilsynet når kommunen opprettar eit elektronisk register med heimel i lov. Jf. forskrift om behandling av personopplysninger 3-1, 3.ledd bokstav f, skal kommunen ha rutinar for oppfylling av sine plikter i samband med personopplysningslova sine reglar om melde- og konsesjonsplikt. Kontraktsmessige krav er mellom anna krav i samband med opphavsrett og grense for kopiering av proprietært 13 materiell. Til vanleg blir proprietære programvareprodukt 14 levert med ein lisensavtale. Kontraktsmessige krav kan og vere krav i samband med avtala kommunen har med sine underleverandørar, til dømes om leverandøren si teieplikt. 4.1 Revisjonskriterium Det bør vere dokumentasjon som viser ei oversikt over kva slags opplysningar som blir handsama i det einskilde datasystem og kva slags lovar som er knytt til opplysningane. I samband med oversikta bør det vere ei vurdering av om det er krav til konsesjon eller melding til Datatilsynet for behandling av dei opplysningar som kan finnast i datasystemet. Det bør vere dokumentasjon på at kommunen sitt datasystem/programvare er i samsvar med aktuell lisensavtale, konsesjonsplikt eller meldeplikt. 13 Eit format som ikkje er fritt, men som er eigd av eit selskap ved at selskapet eig spesifikasjonen av formatet og kontrollerar den vidare utviklinga av det, kallast proprietært. 14 Systemprogramvare omfattar mellom anna operativsystemet, drivarar, og anna som er nødvendig for å kunne køyre applikasjonar. Telemark kommunerevisjon IKS 6
4.2 Funn og fakta Kommunen har fleire applikasjonar 15 som dei nyttar i si sakshandsaming som inneheld opplysningar som ikkje kan gjerast offentlege. I nokre applikasjonar ligg det og sensitive personopplysningar. Det var ikkje utarbeidd ein fullstendig oversikt over kva slags applikasjonar kommunen nyttar, men på vår førespurnad blei det laga ei oversikt over kva slags fagsystem kommunen nyttar og kven som hadde ansvaret for dei. Applikasjonen Profdoc blir nytta av legekontoret. Applikasjonen på helsestasjonen heiter Winmed helse. Profil er ein applikasjon som blir nytta av pleie og omsorg, og sosialtenesta nyttar Velferd. Alle desse applikasjonane er lagt i ei lukka sone og kan innehalde sensitive personopplysningar. 16 Andre applikasjonar som til dømes Ephorte sak/journal og Agresso økonomi og lønn ligg i ei open sone. Desse applikasjonane kan innehalde personopplysningar, men bør ikkje innehalde sensitive personopplysningar. Ephorte sak/journal kan likevel innehalde sensitive personopplysningar i følgje arkivansvarleg. Tabell 1 viser ein oversikt over dei fagsystema kommunen nyttar i sakshandsaminga. Tab. 1:Oversikt over fagsystem nytta i lokal sakshandsaming Fagsystem som er nytta i den lokale sakshandsaminga Konsesjonsplikt eller meldeplikt Sensitive personopplysningar Open eller lukka sone Intern eller ekstern server 17 Ephorte sak journal Uklart O E Agresso økonomi Nei O E Skatt Nei O E Kartsystem Nei O E Kommunegab Nei O E Norkap Nei O E Profdoc Ja Ja L I Winmed helse Ja Ja L I Profil Ja Ja L E Velferd Ja Ja L E Det er uklart kven som har ansvaret for at det blir gjeve melding til datatilsynet når applikasjonar som kan innehalde sensitive personopplysningar blir tatt i bruk. Det er og uklart om slik melding er gjeve for dei applikasjonar som kan innehelde sensitive personopplysningar og som allerede er i bruk. Active Direktory Design er eit dokument som syner korleis ein datamodell for implementering av intern og sikker sone er nytta i same server. Dokumentet syner og kven som har opphavsretten. Dokumentet er basert på Microsoft Best Practice og tilfredsstiller krav og tilrådingar frå Datatilsynet. Dokumentet skildrar administrasjon, design, nettverkstenester, 15 Applikasjon er ei programvare som nyttar seg av datamaskina sine ressursar til ei oppgåve som brukaren ønskjer utført. 16 Sjå vedlegg 2 for definisjon på sensitive opplysninger. 17 Omgrepet tener/server er ofte brukt om maskinvara som programmet (eller programma) køyrast frå. Til dømes kan ein og same datamaskin tilby fleire tenester samtidig, om maskina har kapasitet til å utføre alle oppgåvene. Telemark kommunerevisjon IKS 7
namnestandard, sameksistens med andre tenester og operativsystem, printerløysingar og diverse sikkerheitsløysingar. Dokumentet er å oppfatte som kommunen sin standard. Det er ikkje utarbeidd ei samla oversikt over applikasjonar med lisensar, tal på brukarar og om lisensen gjeld absolutte brukarar eller samtidige brukarar. I følgje sektorleiar har Profil 95 brukarar, Profdoc 10 brukarar, Winmed helse 3 brukarar og Velferd 3 brukarar. På terminalserver er det installert 20 stk CAL lisensar, jf. Ny løsning i sikker sone utarbeidet av Itum system i 2005. Talet på lisensar er installert med bakgrunn i utskifting av legar og at tilgangen til legar som sluttar i kommunen ikkje blir sletta frå applikasjonen. Fleire aktiverte lisensar er dokumentert, jf. Terminalserver utarbeidd av Itum system i 2004. IT-ansvarleg gjorde oss merksam på at det kan vere knytt restriksjonar til einskilde dokument i samband med kopiering. Itum system AS har copyright på dokument som skildrar deira installasjon av terminalserver (Citrix02). Rapporten Active Direktory Design har avgrensa rettar, dvs. dokumentet kan ikkje seljast eller nyttast kommersielt utan skriftleg avtale. Datamodellen og dokumentasjonsmalen er beskytta av åndsverklova. Driftsavtalane mellom Tokke og Kviteseid kommunar på programma Profil og Velferd pålegg Kviteseid kommune å ha nødvendige bruksrettar. Rettane skal vere dokumentert. 4.3 Revisor sine vurderingar Kommunen må sjølv vurdere når behandlinga av personopplysningar er meldepliktige og når behandlingar er konsesjonspliktige. Datatilsynet gjev rettleiing i når kommunane må søke konsesjon eller gje melding i samband med personopplysningar. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysningar. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stede. 18 Datatilsynet har i samband med rettleiinga gjeve ut ei liste med nokre eksempel over kva slags etatar/verksemder i kommunen som har fritak frå konsesjon med heimel i lov, sjå tabell 2. Tabell 2: Datatilsynet si liste over kva slags lovheimel som berre krev melding. Lista er ikkje uttømmande. Etat/verksemd Heimel i lov Barnevern Barnevernlova 3-1(jf. kap. 4) Sosialtenesten Sosialtenestelova 2-1 (jf. kap. 4, 5 og 6) Rusmiddeletaten Sosialtenestelova kap. 6 PP-tenesten Opplæringslova 13-5, 1.ledd, jf. 5-6 Familievernkontor Familievernkontorlova 11, jf. Kontantstøtte-register: Kommunen sitt register over barn som oppfyller vilkåra for kontantstøtte. 1 Barnehagelova 8a 18 Datatilsynet, 25.11.2006. Konsesjons- eller meldeplikt for kommunene (artikkel), Datatilsynet Telemark kommunerevisjon IKS 8
Kommunehelsetenesta sine behandlingsretta register Helsepersonellova 26 og 39 (journal)/pasientadministrasjon innan ramma av helsepersonellova 26. Unntaket frå konsesjonsplikta gjeld berre så langt behandlingane skjer innanfor ramma i dei einskilde lovane. Med bakgrunn i informasjon vi har motteke, antek vi at kommunen ikkje har tilstrekkeleg oversikt over kva slags personopplysningar dei handsamar. Vi kan heller ikkje stadfeste at meldeplikta til Datatilsynet er overhalde. Dei fleste programvarene i kommunen er lisensbaserte. Ei lisensavtale er eit bevis på at kommunen har rett til å bruke programvara. Nokre av lisensavtalane har krav om tal på brukarar av programvara, anten samtidige brukarar eller absolutte brukarar. Kommunen bør difor ha ei oversikt over kor mange brukarar det er som har tilgang til programvara. Visst det er krav til absolutte brukarar av ei programvare, bør den dataansvarlege anten nekte å gje tilgang til fleire brukarar eller utvide lisensen for tal på brukarar. Det siste kan føre til auka lisenskostnader. Vi har ikkje gått gjennom kommunen sine lisensavtaler, men meiner på bakgrunn av den informasjon vi har motteke, at kommunen har nødvendige lisensar for deira datasystem/programvarer. Det synast som at kommunen er klar over og tek omsyn til opphavsrettar, både når det gjeld programvare og når det gjeld dokument. På bakgrunn av dette kan vi konkludere med at kommunen overheld kontraktsmessige krav, men vi tilrår likevel at kommunen utarbeider ei fullstendig oversikt over lisensavtaler og brukarar. Dette kan også lette arbeidet med administrasjonen av avtalene. 4.4 Tilråding Kommunen bør utarbeide ei fullstendig oversikt over fagsystema som synar kva slags lovheimel for sakshandsaming den einskilde sektor nyttar, om det trengs konsesjon eller melding, type lisens og tal på brukarar. Kommunen bør avklare om meldeplikta til datatilsynet er overhalde. Telemark kommunerevisjon IKS 9
5 Er kommunen sin sikkerheitsstrategi, -mål og aktivitetar reflektert i verksemda sine mål? Følgjande gjeld generelt for problemstilling 5a, 5b, 5c og 5d: Kva som er kommunen sin politikk når det gjeld informasjonstryggleik bør vere kjent for alle tilsette i kommunen. Kommunen bør utarbeide klare retningsliner for informasjonssikkerheit. Handsaminga av personopplysningar er for kommunar regulert i personopplysningslova og helseregisterlova, der høvesvis 13 og 16 stiller krav til sikring av personopplysningar. Den som har ansvaret for handsaming av opplysningane er normalt representert ved administrativ leiing. Ansvaret inneber og at det settast av tilstrekkelege ressursar, både med tanke på personell og økonomi, slik at tilfredsstillande informasjonstryggleik vert oppretthalde. Samarbeid mellom partar og leige av personell som utfører oppgåver kommunen ikkje kan utføre sjølve, bør vere regulert i ei avtale. Gjennom arbeidet med risikovurdering bør kommunen dokumentere kva slags tryggingstiltak som er gjennomført og kva slags tryggingstiltak som bør gjennomførast. Det er verksemda si leiing som har ansvaret for utarbeiding av ei risikovurdering. Leiinga har og ansvaret for at det gjennomførast sikkerheitsrevisjon kvart år. Formålet med sikkerheitsrevisjon er å sikre at vedtekne sikkerheitsmål, -strategiar og organisering vert følgd. Resultatet av revisjonen dannar grunnlaget for eventuelle endringar. Informasjonssystemet skal nyttast i samsvar med faste rutinar. I den grad det er nødvendig for å oppnå tilfredsstillande informasjonstryggleik, skal det vere skriftlege rutinar for bruk, drift og vedlikehald av det einskilde utstyr eller program. Dette for å sikre at alle aktivitetar som er viktige for tryggleiken gjennomførast og at arbeidsoppgåvene blir utført likt kvar gong. Rutinane skal ha ein detaljeringsgrad som er tilpassa kommunen sitt behov og skal vise: - ansvar for at arbeidsoppgåva blir utført - ansvar for utarbeiding og vedlikehald av rutinen - tidspunkt for utføring av arbeidsoppgåva - kva slags aktivitet som skal gjennomførast - kva slags resultat ein skal oppnå og korleis dette blir rapportert i organisasjonen a) Har leiinga utarbeidd eit overordna dokument for kommunen sin sikkerheitsstrategi? 5.1 Revisjonskriterium Val og prioriteringar i sikkerheitsarbeidet skal kome fram i eit strategidokument. Kommunen skal utarbeide mål for informasjonssikkerheita. Sikkerheitsmåla skal mellom anna vise overordna krav til konfidensialitet, integritet og tilgjengelegheit for personopplysningar. Sikkerheitsmåla skal ta utgangspunkt i lovpålagte krav til informasjonssikkerheit. Kravet til kommunen om utarbeiding av skriftlege strategidokument finn vi i personopplysningsforskrifta 19 2-3, 2. og 3.ledd kor står det at: 19 Forskrift: 15.12.2000 nr. 1265 om behandling av personopplysninger Telemark kommunerevisjon IKS 10
Formålet med behandling av personopplysningar og overordna føringar for bruk av informasjonsteknologi, skal beskrives i sikkerheitsmål. Val og prioriteringar i sikkerheitsarbeidet skal beskrives i ein sikkerheitsstrategi. I same forskrift 2-5, 1. og 2.ledd står det at: Sikkerheitsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkehetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Og i 5.ledd: Resultatet av sikkerhetsrevisjon skal dokumenteres. 5.2 Funn og fakta Kommunen har ikkje utarbeidd eit overordna (strategi-)dokument der IT-sikkerheit er inkludert. I følgje IT-ansvarleg brukar kommunen same sikkerheitsdokument som Tokke kommune brukar. Dette er ei beskriving av rutinar og kan ikkje sjåast som eit overordna dokument. Det er ikkje tilpassa Kviteseid kommune og er ikkje vedtatt av kommunestyret. Dokumentet er ikkje distribuert/publisert på intranett, og viktige rutinar som avviksbehandling, sikker sletting av informasjon på elektronisk format og viruskontroll er derfor ikkje kjent for alle tilsette. Dokumentet seier ikkje noko om kva for målsettingar, val og prioriteringar kommunen har gjort i sin IT-strategi. Det seier ikkje noko om eventuelle beredskapsplanar. Det er skissert retningsliner for eigenkontroll og sikkerheitsrevisjon. Gjennom våre kontrollar kan vi ikkje sjå at slike rutinar vert etterlevd i praksis. 5.3 Revisor sine vurderingar Sikkerheitsstrategien gjev premissane for kva som er akseptabel risiko i kommunen. Kva som er akseptabel risiko og om dei valde tryggleikstiltaka gjev tilfredsstillande sikkerheit skal kome fram gjennom risikovurderingane, jf. punkt 3.1. Sikkerheitsstrategien bør vedtas av kommunestyret. I følgje forskrifta skal dei vala og prioriteringane som kommunen gjer, kome fram i ein sikkerheitsstrategi. Dette er eit viktig dokument som må vedtas og handsamast av kommunen si øvste administrative leiing og bør vere i samsvar med politiske avgjerder. Formålet med beredskapsplanlegging er å sikre nødvendig handsaming av opplysningar ved avbrott i normal drift. I riksrevisjonen si undersøking står det: Undersøkelsen viser videre at oppdaterte beredskapsplaner for IT-systemer bare foreligger i et mindre antall virksomheter i statlig, kommunal og privat sektor. 20 Det er like fullt viktig for kommunen å ha ein plan visst ein katastrofesituasjon skulle oppstå. Det er viktig at strategidokumentet reviderast jamleg og oppdaterast på område som ikkje fungerar optimalt. Innanfor IT- sektoren vil det vere ei stadig utvikling med nye utfordringar som bør inkorporerast i dokumentet. 20 Riksrevisjonen, 2005-2006. Dokument nr. 3:4 (2005-2006) Riksrevisjonens undersøkelse av myndighetenes arbeid med å sikre IT-infrastruktur, Riksrevisjonen, s. 15 Telemark kommunerevisjon IKS 11
5.4 Tilråding Kommunen bør utarbeide eit overordna dokument som inneheld sikkerheitsmål, strategi og organisering. Dokumentet bør også innehalde beredskapsplanar som dekker katastrofesituasjonar. b) Er det klare ansvars og myndeforhold? 5.5 Revisjonskriterium Kommunen må etablere klare ansvars- og myndeforhold slik at det kjem klart fram kven som har fått delegert kva slags oppgåver. 21 Dette bør vere dokumentert slik at dei tilsette kjenner og følgjer faste rutinar for bruk av informasjonssystemet, og gjennomføring av dei tryggingstiltaka den tilsette sjølv er ansvarleg for. Same gjeld og for tilsette og personell som er leigd inn for å utføre drift og vedlikehald, dvs. at dei utfører arbeidet i samsvar med faste rutinar. Ansvaret for utarbeiding av rutinar kan delegerast til den som er best kjent med arbeidsoppgåvene. I følgje datatilsynet 22, kan døme på organisatoriske tiltak vere å etablere klare ansvars- og myndeforhold i organisasjonen, sørgje for tilfredsstillande kompetanse blant dei tilsette, og bare gje tilgang til personopplysningar i den grad det er nødvendig for å utføre pålagte oppgåver. Det bør lagast rutinar for korleis tiltaka skal evaluerast. Arbeidsdeling er eit av dei viktigaste tiltaka ein kan gjere for å motverke mislighald. 23 Det er og viktig å ha klare ansvarsliner slik at alle leiarar og medarbeidarar veit kven som har ansvaret for dei forskjellige funksjonane. 5.6 Funn og fakta På førespurnad utarbeidde IT-ansvarleg ein oversikt over kva slags IT-system kommunen har og kven som er ansvarlege for dei, jf. 4.2. Oversikta viser ikkje ansvarsdeling og inneheld nokre manglar. Ved gjennomgang av kommunen si årsmelding for 2006 finn vi til dømes at programmet Classfronter (elevprogam) og Aleph (for biblioteket) er i bruk. Kven som har ansvaret for desse går ikkje fram av oversikta, men i årsmeldinga går det fram at biblioteksjefen er koordinator for den lokale tilpassinga av heile basen (Aleph), og for utviklinga av webtenestene. Sektorleiar, rådmann eller næraste fagsjef har oftast hovudansvaret for systemet, mens systemansvaret er delegera til ein medarbeidar/leiar som jobbar med systemet til dagleg. Organisasjonskart (vedlegg 5) viser korleis kommunen er organisert. Ansvaret er delegert i tråd med organisasjonsstrukturen. Sektor for omsorg og opplæring er svært stor og det er sannsynleg at denne vert delt i to. I våre undersøkingar har det vore tilfelle der dei systemansvarlege ikkje har vore klar over at det er dei som står som hovudbrukar/systemansvarlege. 21 Datatilsynet, 2005. Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, s. 8. 22 Ot.prp.nr. 92 (1998-1999) om behandling av personopplysninger kapittel 2 Til 13 Informasjonssikkerhet 23 Døssland, E. og Olsen, A.B., 17./18.10.2007. Forebygging av misligheter, Norges interne revisorers forening, (Kursmateriell) Telemark kommunerevisjon IKS 12
Ved innføringa av ephorte er arkivansvarleg den einaste som er delegert ansvaret for systemet. Arkivansvarleg lærer no opp ein tilsett, slik at han kan fordele/registrere posten i arkivansvarleg sitt fråvær. Arkivansvarleg vil framleis vere den einaste med full tilgang i systemet. Dei tilsette er i varierande grad tatt med i prosessen med å velje kva for program kommunen skal bruke. Ofte er denne avgjerda tatt sentralt, t.d. i Vest-Telemark Rådet/ Tinget. Det veljast ofte program som dei andre kommunane i Vest-Telemark har frå før, noko som er praktisk for samarbeid og utveksling av informasjon mellom kommunane. 5.7 Revisor sine vurderingar Delegering av ansvar følgjer ansvarshierarkiet og er naturleg fordelt etter kva slags oppgåver dei tilsette har i kvardagen. Det er likevel eit problem at systemansvarlege i nokre tilfelle ikkje er klar over kva ansvarsdelegeringa inneber, jf. 4.3 om meldeplikt til Datatilsynet er overhalde. Her har det vore uklart om det er fagansvarleg eller IT-ansvarleg som har ansvaret for å gje melding til Datatilsynet. Det kan tyde på at kva delegasjon av ansvar inneber ikkje er godt nok kommunisert til dei tilsette i organisasjonen. Vi har ikkje sett dokumentasjon utarbeidd på forhånd vedkommande ansvarsdeling og oppgåvedeling. Dette burde kanskje vore ein del av ansvaret til rådmannsgruppa i samband med avgjerder om å ta i bruk nye program/system. Kommunen må overhalde lov-/forskriftsmessige krav til forsvarleg drift. Eit viktig grep for å motvirke misleghald er arbeidsdeling. Det kan diskuterast om dagens organisering oppmuntrar til arbeidsdeling. Sektor for oppvekst og omsorg er stor med stort spenn i arbeidsoppgåver, og skal no delast i to sektorar. Det kan vere riktig å delegere arbeidsoppgåver i større grad i nokre system, til dømes i ephorte. Det vil vere ein fordel at ikkje ein person sitt med oversikt over heile sakshandsaminga i kommunen. Det vil også gjere kommunen mindre sårbar ved sjukdom. Vi vil understreke at vi ikkje har nokon mistanke om misleghald. Ansvaret for tildeling av ressursar til forsvarleg drift ligg hos leiinga i kommunen. Det er viktig at dei tilsette og einingsleiarane har moglegheit til å delta og kome med innspel i samband med val av IT-program. For å oppnå semje blant dei tilsette om avgjerder, er det viktig at medarbeidarane føler at prosessen rundt avgjerdene skjer på ein riktig og rettferdig måte at prosedyrane oppfattast som rettferdige. Dette vil føre til at dei tilsette blir tilfreds med avgjerder som vert teke. 24 5.8 Tilråding Kommunen bør klargjere ansvarsfordelinga/oppgåvefordelinga i kommunen. Dei tilsette bør delta i prosessar med omlegging/val av nye system. 24 Kim, W. C. og Mauborgne, R. 1998. Procedural Justice Decision Making and the Knowledge Economy. Strategic Management Journal, 19, 323-338. Telemark kommunerevisjon IKS 13
c) Er det etablert sikkerheitstiltak? 5.9 Revisjonskriterium Det bør vere etablerte rutinar for tilgangskontroll, sikkerheitskopiering, konfigurasjonskontroll, avviksbehandling, leverandørar/partar/konsulentoppdrag. Det bør vere krav til kompetanse hos dei som arbeider med IT i kommunen. Det bør vidare vere rutinar for vedlikehald og for oppdatering av programvare som handterar viruskontroll. I personopplysningsforskrifta 2-14 og 2-16 står det: Sikkerheitstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registrerast. Sikkerheitstiltak skal omfatte tiltak som ikkje kan påverkast eller omgås av medarbeidarane, og ikkje være avgrensa til handlingar som den enkelte forutsettes å utføre. Sikkerheitstiltak skal dokumenteras. Rutinar for bruk av informasjonssystemet og annen informasjon av betyding for informasjonssikkerheita, skal dokumenterast. Datatilsynet si rettleiing for tynne klientar 25 tilrår at det konfigurerast soner og sikkerheitsbarrierar. Følgjande avsnitt er henta frå rettleiinga 26 : Soner nyttes som et grunnleggande prinsipp i sikkerheitsarkitekturen. Ei sone utgjer ein del av et informasjonssystem og deles for eksempel opp etter behov for skjerming av ulike personopplysningar. Soner opprettes også basert på behovet for tilgangsstyring og segmentering av brukarane. Trafikk frå sikker sone skal alltid være initiert frå innsida av barrieren. For å avgrense tilgangen til personopplysningar, kan det være hensiktsmessig å nytte fylgjande soner internt i ei verksemd: Sikra/lukka sone; kor sensitive personopplysningar handsamast(ved behov opprettes fleire sikra soner i verksemda, for eksempel dersom dette betre understøtter taushetsplikt). Den enkelte sikra sone er teknisk avskilt frå resten av det interne nettverk og eventuelle andre sikra soner, forutan mot eksterne nettverk. Intern/open sone; kor ikkje-sensitive personopplysningar handsamast. Denne kan også omfatte andre opplysningar i verksemda som ikkje skal eksponerast eksternt. Mellom eksternt nettverk og sikra sone kor sensitive opplysningar handsamast skal det vere fleire sikkerheitsbarrierar. Sikkerheitsbarrierane skal innehalde funksjoner for: Nettverkskontroll; som regulerer informasjonsflyten mellom eksternt nettverk og verksemda sine ulike soner, herunder kva slags nettverks- og applikasjonsprotokollar som kan nyttes. Tilgangskontroll; som muliggjør kontroll og avgrensing på applikasjonsnivå med det formål å: o Verifisere at det er den tilatte tenesta som faktisk nyttes o Hindre at tenesta for initiering av aktivitetar som ikkje er tillatt og ikkje er del av tenesta sjølv 25 Teknisk sikkerheitsløysning hos brukaren skal bidra til å hindre uautorisert utlevering av sensitive personopplysningar ved utilsikta overføring av data mellom program, eksempelvis ved bruk av klipp og lim - funksjon. 26 Datatilsynet, 2005. Veileder for bruk av tynne klienter, Datatilsynet Telemark kommunerevisjon IKS 14
o Kontrollere og avgrense funksjonaliteten i tenestene etter behov o Forhindre utnytting av kjente svakheiter i tenestene Det skal ikkje vere mogleg for medarbeidarar å endre konfigurasjonen utan autorisasjon. Dette skal vere dokumentert. Det bør vere ei hensiktsmessig delegering av ansvaret for sikkerheita, inkludert tilgangskontroll, overvaking, opplæring mm. Brukarane bør tildelast tilgang etter behov. 5.10 Funn og fakta Tilgangskontroll Kommunen har installert brannmurar for å førebyggje uautorisert tilgang. Unaturleg trafikk, det vil seie forsøk på angrep utanfrå, blir handsama av den ytre brannmuren. Det er ikkje rutinar for gjennomgang av hendelsesregister. Hendelsesregister omfattar områda tilgang, datakommunikasjon og forsøk på uautorisert bruk. Innafor det lokale nettverket (LAN) blir virus stoppa av antivirusprogrammet Trend. Trend vert oppdatert automatisk. Visst ein brukar har med seg eit infisert eksternt lagringsmedium (minnepenn), så frys Trend det mediet (til dømes ein tynn klient/pc) som pennen blir kopla til. Hovudsakleg brukast det tynne klientar i kommunen. Det er to USB-inngangar 27 på dei fleste tynne klientane, men IT- ansvarleg må gje tilgang for å kunne bruke USB-inngangane. Det er innført sikkerheitsbarrierar for dei brukarane som arbeider med program i lukka sone. Det er ikkje mogleg å nytta program i open og lukka sone samtidig, heller ikkje kopiering mellom sonene. Anna sensitiv informasjon om pasientar/klientar som skal formidlast mellom einingane skjer via post eller munnleg beskjed. Sensitiv informasjon vert ikkje sendt via e- post. Korleis dei einskilde fagsystema har organisert tilgangen varierar, men tilgang blir gjeve i samsvar med kompetanse og arbeidsplassen til brukar. Det er ikkje utarbeidd rutinar for manuell handsaming av saksopplysningar, visst fagsystemet skulle vere ute av drift. Det er ikkje utarbeidd skriftlege rutinar for avvikshåndtering. Systemansvarleg gjev dei tilsette den tilgangen dei treng i systemet. Ved endring av arbeidsoppgåver er det rutine å endre tilgangen etter behov. Det har ikkje vore gode rutinar for melding til IT-ansvarleg om sletting av ein tilgang. Ansvaret for kven som skal gje ITansvarleg beskjed om sletting av tilgang er noko uklart. Rutinebeskrivingane i dokumentet frå Tokke kommune er ikkje følgd, men vi får opplyst av personalkonsulent i kommunen at einingsleiarane skal gje beskjed til IT- ansvarleg, slik at dei aktuelle tilgangane kan fjernes. Skjema for dette ligg på intranettet. Det skal vere sendt ut eit skriv til alle einingsleiarane om den nye rutina, men revisor har ikkje fått dette dokumentet. Vi kjenner til at det framleis er brukaridentar på tidlegare tilsette ved legekontoret i Profdoc. Desse er ikkje deaktiverte, men Profdoc er ein del av lukka sone, slik at det ikkje kan hentast informasjon dersom ein ikkje er fysisk tilstades på legekontoret. Alle tilsette har ein eigen profil i nettverket til kommunen. Denne profilen er passordbeskytta. For å komme inn på eit av fagsystema må dei tilsette ha tilgang og bruke eit eige passord, samt bytte passordet fyrste gong dei loggar seg på. 28. Brukarane blir kasta ut av systemet 27 USB (universell seriebuss) er ein standard for å kople einingar til ei datamaskin. 28 Andersen, B.T., 2005. Ny løsning i sikker sone Kviteseid kommune, Itum System AS Telemark kommunerevisjon IKS 15
dersom dei ikkje har vore aktive i 30 minutt. I dei fleste systema blir brukaren bedt om å forandre passord etter ein periode. Det har ikkje vore ein generell diskusjon om bruk og oppbevaring av passord i kommunen, men nokre av leiarane har tilrådd å ikkje skrive ned passordet, og om ein må skrive det ned, oppbevare det på ein trygg plass. Fysisk sikring Tilgang til serverrom og kabelrom var tilstrekkeleg sikra da vi kontrollerte dei. Romma er ikkje brannsikre og det er opne vassrør i kabelrommet. Safen med back-up tape, var bolta til golvet og godt sikra. Safen var brannsikker. Plassering av skriverar, rutinar for henting av dokument og tilgang til kontor gjev tilstrekkeleg tilgangskontroll. Ved vår kontroll og våre intervju var det bare ved sosialkontoret at revisor blei bedt om å vise legitimasjon. Sikkerheitskopiering Rutinar for sikkerheitskopiering er tilstrekkelege, men rutinane er ikkje skriftlege. Systemet for oppbevaring av sikkerheitskopiar er tilstrekkeleg. Konfigurasjonskontroll Det er ein dokumentert konfigurasjon på nettverket. 29 Dei tilsette kan ikkje installere noko på dei tynne klientane eller endre på konfigurasjonane, det må gjerast av dei IT-tilsette i profilen til den einskilde. Active Directory Design gjev og føringar for mellom anna konfigurasjon av brannmurar. Avvikshandsaming I sikkerheitsrutinane for Tokke er det skissert føringar for avvikshandsaming. Desse brukast ikkje i Kviteseid og er ikkje kjent blant dei tilsette. Pleie og omsorg har eigne rutinar for avvikshandsaming, men desse er einingsspesifikke og er ikkje direkte overførbare til resten av kommunen. Det er gjeve opplæring i bruk av systema. Ein skal til dømes ikkje låne brukarnamn og passord av kvarandre. Feil bruk av system, lån av brukarnamn og passord bør føre til avviksrapportering. For nokre fagsystem er det særskilte rutinar for overstyring av tilgang til opplysningar i systemet. Det loggførast kva brukarane gjer i systemet og eventuelle overtramp vil kunne sporast tilbake til personen gjennom brukarnamnet. Rutinane er strenge og brot kan medføre oppseiing. Leverandørar/partar Datamodellen i Active Directory Design beskriv arbeidsfunksjonane til kommunen sin ITmedarbeidar. Den beskriv og dei rettar som administrator har for Kviteseid, Tokke og Vinje kommunar. Rett til å delegere rettar til brukarane i kommunen ligg hos den einskilde administrator i samsvar med standarden. Standarden syner og korleis det heile er organisert. Sjå 4.2 for meir informasjon. 29 Haugholt, H., 2004. Nettverks dokumentasjon Kviteseid kommune, Itum System AS Telemark kommunerevisjon IKS 16
5.11 Revisor sine vurderingar Tilgangskontroll, fysisk sikring, sikkerheitskopiering og konfigurasjonskontroll Rutinebeskrivingane som brukast i Tokke kommune er omfattande, men er tilpassa systema som brukast der.. Kviteseid kommune brukar mange av dei same systema og applikasjonane, men rutinane bør likevel tilpassast kvar einskild kommune, slik at dei blir anvendelege for kommunen. Det er til dømes ulike fysiske løysingar for sikkerheitskopiering i kommunane. Kommunen har ein del rutinar på plass, men dei er ikkje nedfelt i dokument. Til dømes har kommunen gode rutinar for sikkerheitskopiering. Skriftleg rutine for sikkerheitskopiering bør utarbeidast. I rutina bør det beskrivast: - korleis sikkerheitskopiering skal utførast - kven som har ansvaret for kopieringa - kva slags data som skal kopierast - kopieringstidspunkt og intervall - lagring av reservekopi og skildring av lagringsmedium og sikring av dette - metode for gjenoppretting av normal drift ved bruk av sikkerheitskopiar. Andre sikringstiltak er og på plass. Kommunen har fleire brannmurar, strenge tilgangskontrollar for brukarar i lukka sone, etablerte og offentleg godkjente programvarer. IT-ansvarleg har eit bevisst forhold til tilgangskontroll og sikring av systema for indre og ytre truslar. Men det at kommunen ikkje har rutinar for gjennomgang av hendelsesregister, sjå tidlegare kommentar, er eit brot på Datatilsynet sin Veiledning i informasjonssikkerhet for kommuner og fylker. Den seier: Det skal utarbeides rutine for gjennomgang av hendelsesregistre som omfatter: hvem som skal ha ansvar for å gjennomgå registreringene hvor hyppig registreringene skal gjennomgås beskrivelsene av unormale aktiivitetsmønstre som bør understrekes hvordan etterkontroll av unormale aktivitetsmønstre bør foretas hvordan eventuelle sikkerhetsbrudd eller mistanke om slikt skal følges opp hvem som har ansvar for sletting av registreringer ved lagringstidens utløp. Det er ein alvorleg sikkerheitsrisiko at serverrom ikkje er brannsikkert og at det er opne vassrør i rommet. Ei utbetring av serverrom vil sannsynlegvis vere kostbart, men bør vurderast. Avvikshandsaming Formålet med avvikshandsaming er å lukke avvik, gjenopprette normal tilstand/drift, og hindre gjentaking. Visst det ikkje er samsvar mellom faste rutinar og korleis informasjonssystemet nyttast, skal resultatet frå avviksbehandlinga nyttast som grunnlag ved gjennomgang og endring i dei aktuelle rutinar. Den som oppdagar avvik har plikt til å rapportere dette skriftleg. Kommunen bør derfor ha ei rutine for handsaming av avvik, samt ein sikkerheitsrevisjon jamleg for å forbetre område som ikkje fungerar og ta tak i nye utfordringar innanfor IT. Oppsummering Kort oppsummera er rutinane for tilgangskontroll, sikkerheitskopiering og konfigurasjonskontroll jamt over god, men det manglar ein del dokumentasjon. Den fysiske sikringa er noko svak og det bør innførast avvikshandsaming innanfor IT.. Telemark kommunerevisjon IKS 17