Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Transkript

1 Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af SDN. Nr. Kontrolmål Observation Risiko Anbefaling/bemærkninger Prioritet Opfyldt Styregruppen for SDN følger løbende op på it-sikkerheden i og omkring SDN MedCom har foretaget en dækkende risikovurdering af SDN. Vi vurderer, at styregruppen for SDN løbende følger op på it-sikkerheden i og omkring SDN. SDN's øverste myndighed er MedComs styregruppe, som er sammensat af repræsentanter for stat, regioner og kommuner. Sundheds- og Ældreministeriet varetager formandsskabet. Gennemgangen har vist, at Styregruppen samles kvartalsvis og bl.a. behandler og følger op på MedCom s risikovurdering af SDN, handleplaner, samt driftsrapportering mv. Styregruppen følger endvidere løbende op på MedComs implementering af ISO Vi vurderer, at MedCom har foretaget en dækkende risikovurdering af SDN. Vi har gennemgået MedComs seneste risikovurdering fra I risikovurderingen fremgår de identificerede og vurderede risici med tilhørende kontroller og handleplan. Risikovurderingen er bl.a. foretaget med udgangspunkt i observationer fra eksterns revisors årlige revision af SDN (ISAE 3000-erklæring), og bygger også på MedComs risikovurdering fra Styregruppen behandlede risikovurderingen i juni I oktober 2017 fulgte styregruppen endvidere op på fremdriften på den handleplan som MedCom havde udarbejdet på baggrund af risikovurderingen. De fleste aktiviteter relaterer sig til og forventes løst ved opgradering til SDN version 3, som er blevet afsluttet ultimo maj Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 1/12

2 Nr. Kontrolmål Observation Risiko Anbefaling/bemærkninger Prioritet Opfyldt MedCom har udarbejdet politik og retningslinjer for SDN. (ISO nr. A.5.1.1) Vi vurderer, at MedCom har udarbejdet politik og retningslinjer for SDN. Gennemgangen har vist, at MedComs informationssikkerhedspolitik er godkendt af styregruppen. Vi har endvidere gennemgået udvalgte retningslinjer for SDN, som bl.a. omfatter adgangsstyring, ændringsstyring og håndtering af incidents mv., og vi vurderer, at de er relevante og dækkende. Gennemgangen har også vist, at MedCom har valgt at implementere informationssikkerhedsstandarden ISO 27001, selv om de ikke er forpligtet til dette MedCom har sikret, at der er en klar rolle- og ansvarsfordeling i og omkring SDN, der medvirker til at sikre en effektiv styring af it-sikkerheden. (ISO nr. A.6.1.1) Vi vurderer, at MedCom har sikret, at der er en klar rolleog ansvarsfordeling i og omkring SDN, der medvirker til at sikre en effektiv styring af it-sikkerheden. MedCom er, som systemforvalter af SDN, bl.a. ansvarlig for selve it-løsningen, leverandørsamarbejdet, samt it- og informationssikkerheden. Til at støtte MedCom i det praktiske arbejde med SDN, har styregruppen nedsat en SDN-brugergruppe, som er sammensat af repræsentanter fra de forskellige brugere af SDN. Gruppen har til opgave at følge driften tæt og sikre den tekniske og sikkerhedsmæssige udvikling herunder rådgive MedComs styregruppe i forhold til at udøve en hensigtsmæssig forvaltning af SDN. Vi har stikprøvevist gennemgået dagsordner, mødemateriale og referater mm. fra henholdsvis styregruppemøderne og brugergruppemøderne. Vi vurderer, at der i både styregruppen og brugergruppen behandles væsentlige spørgsmål vedrørende it-sikkerheden i og omkring SDN. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 2/12

3 Nr. Kontrolmål Observation Risiko Anbefaling/bemærkninger Prioritet Opfyldt MedCom har en opdateret Vi vurderer, at MedCom kun delvis har en opdateret dokumentation af SDN. dokumentation af SDN. (ISO ref. A.8.1.1) Vores gennemgang har vist, at der eksisterer flere tegninger over forskellige dele af SDN. Ligeledes omfatter tegningerne forskellige versioner af SDN med eksempler på indbyrdes modstridende oplysninger. Gennemgangen har også vist, at i det seneste ca. halvandet år, har SDN været i en transitionsfase, hvor SDN bliver opgraderet fra SDNv2 til SDNv3. Transitionen er delvist blevet afsluttet ultimo maj 2018, med en opgradering af MPLS-forbindelserne. Hele transitionen til SDNv3 forventes først helt afsluttet ultimo 2018 med omlægning af de sidste VPN-forbindelser. Vi har konstateret, at MedCom og leverandørerne ikke har en procedure for en løbende opdatering af tegningerne i forbindelse med transitionsfasen fra SDNv2 til SDNv3. Manglende overblik giver risiko i forbindelse med opdatering af SDN og i beredskabssituationer. Desuden skaber en mangelfuld dokumentation afhængighed af nøglepersoner. Vi anbefaler, at MedCom udarbejder en samlet opdateret tegning over SDN, der også angiver vigtige netværkskomponenter. Tegningen skal kunne anvendes af personer med netværkskompetencer, som ikke er bekendt med SDN i forvejen MedCom har udarbejdet og testet en beredskabsplan til genetablering af SDN i tilfælde af nedbrud. (ISO ref. A og A ) Vi har dog konstateret, at MedCom, efter opgraderingen af MPLS-forbindelserne i maj, har bestilt en opdateret SDNdokumentation hos leverandørerne. Vi vurderer, at MedCom har udarbejdet og testet en beredskabsplan til genetablering af SDN i tilfælde af nedbrud. Gennemgangen har vist, at MedCom har gennemført en beredskabstest i 2016 og i januar Beredskabstesten i 2016 var en skrivebordøvelse, som havde fokus på interne roller og ansvar i beredskabsorganisationen hos MedCom. Beredskabsøvelsen i januar 2018 omfattede de tilsluttede parter, SDN-leverandørerne og departementet. Øvelsen var en praktisk øvelse, som havde til formål at afklare, hvor hurtigt leverandørerne kunne tilvejebringe det nødvendige fysiske udstyr og genetablere forbindelserne. MedCom har oplyst, at begge øvelser har afklaret flere praktiske forhold og snitflader mellem aktørerne. Resultatet af den seneste beredskabsøvelse blev behandlet i SDN-brugergruppen i februar Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 3/12

4 Nr. Kontrolmål Observation Risiko Anbefaling/bemærkninger Prioritet Opfyldt MedCom har sikret, at de dataansvarlige har indgået databehandleraftaler med MedCom. Gennemgangen har vist, at MedCom har sikret, at de dataansvarlige har indgået databehandleraftaler med MedCom. MedComs ansvar er fastlagt i de indgåede databehandleraftaler med de dataansvarlige (virksomhederne). MedCom er ansvarlig for, at SDN er sikret i henhold til lovgivningen for transport af persondata. MedCom behandler ikke data, men er i lovens forstand at betragte som databehandler i den proces. MedCom er ikke ansvarlig for selve databehandlingen eller for kontroller relateret til databehandling. Gennemgangen har også vist, at MedCom årligt får foretaget en ekstern it-revision af SDN, som munder ud i en erklæring (ISAE 3000-erklæring) om overholdelse af persondataloven i SDN. It-revisionen fungerer endvidere som en fælles kontrol af SDN for de dataansvarlige. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 4/12

5 Styring af adgang til SDN Vi har undersøgt, om MedCom har sikret adgang for autoriserede brugere og forhindret uautoriseret adgang til SDN. Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har implementeret procedurer for brugernes adgang til SDN, og følger løbende op herpå. Vi vurderer, at MedCom har implementeret procedurer for brugernes adgang til SDN, og løbende følger op herpå. Gennemgangen har vist, at MedCom administrerer virksomhedernes tilslutning til SDN via en tilslutningsaftale, (ISO ref. A.9.1 og A.9.2.5) som reguleres i Aftalesystemet. Den enkelte virksomhed udpeger en teknisk kontaktperson, som SDN-leverandøren henvender sig til i forbindelse med den konkrete tilslutning til SDN. SDNleverandøren opretter den tekniske kontaktperson som virksomhedens første bruger i Aftalesystemet. Den tekniske kontaktperson oprettes med privilegerede rettigheder, der giver rettighed til at ændre og oprette egne aftaler, samt oprette og autorisere egne lokale brugere ud fra rolle- og rettighedsstyringen i Aftalesystemet dvs. også ved arbejdsbetinget behov at autorisere andre medarbejdere i den pågældende virksomhed til privilegerede rettigheder. Det er alene virksomhedernes eget ansvar at følge op på hvilke medarbejdere, som de har givet adgang til at anvende SDN. MedCom sender hvert kvartal en mail til alle tekniske kontaktpersoner med en opfordring om at foretage en kontrol af egne lokale brugere. I Aftalesystemet kan de tekniske kontaktpersoner tilgå en oversigt over egne brugere, som de kan anvende i deres kontrol. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 5/12

6 Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har sikret, at kun autoriserede medarbejdere og konsulenter har rettigheder til at foretage ændringer på SDN. (ISO ref. A.9.2.3) Vi vurderer, at MedCom har sikret, at kun autoriserede medarbejdere og konsulenter har rettigheder til at foretage ændringer på SDN. Vi har konstateret, at leverandørenes koncept for tildeling af administratorrettigheder til deres medarbejdere er godkendt af MedCom s ledelse. I den årlige ISAE erklæring vurderer ekstern revisor endvidere, at de tildelte adgange til SDN er i overensstemmelse med et arbejdsbetinget behov. MedCom har oplyst, at da SDN er et 24/7-system, hvor tilgængelighed vægtes meget højt, har de sammen med leverandørerne vurderet, at det er nødvendigt, at et større antal godkendte personer har adgang til SDN. Gennemgangen har derfor vist, at der er omkring 24 godkendte personer, som er autoriserede til at ændre i Aftalesystemet. Disse personer er fordelt på henholdsvis MedCom, Netdesign og Netic. Derudover er der 3 medarbejdere hos Netic, som kan ændre i Aftalesystemets database fx via SQL MedCom foretager en regelmæssig kontrol af hvilke medarbejdere og konsulenter, som har rettigheder til at foretage ændringer på SDN. Endelig kan netværksadministratorerne hos Netdesign ændre på netværkskomponenter og -udstyr. Gennemgangen har vist, at MedCom foretager en regelmæssig kontrol af hvilke medarbejdere og konsulenter, som har rettigheder til at foretage ændringer på SDN. Vi har konstateret, at MedCom gennemgår og følger op på de pågældende personer på de månedlige driftsmøder sammen med leverandørerne. I den årlige ISAE 3000-erklæring vurderer ekstern revisor endvidere, at de tildelte brugeradgang revurderes i overensstemmelse med Sikkerhedsbekendtgørelsen krav. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 6/12

7 Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har sikret, at leverandørene anvender tilstrækkelig stærke passwords, når de logger på netværksudstyret. Vi vurderer, at MedCom kun delvist har sikret, at passwords til netværksudstyr er tilstrækkelig stærke. Risiko for at password kan brydes af hackere. (ISO ref. A.9.4.3) Gennemgangen har vist, at MedCom har en passwordspolitik, som omfatter længde, kompleksitet og skift af password. SDN omfatter 28 netværkskomponenter, og SDNleverandørerne er ved at implementere en central adgangskontrol til netværksudstyret, som kan sikre, at passwordpolitikken systemunderstøttes. Ved revisionens afslutning var den centrale adgangskontrol med stærke passwords blevet implementeret for alt SDNv3-udstyr, som omfatter 22 netværkskomponenter. MedCom har oplyst, at der udestår i alt 6 enheder (SDNv2- udstyr), der vil blive slukket og nedtaget, når alle VPNforbindelser er flyttet til SDNv3 i løbet af Vi finder det positivt, at SDNleverandøren er i gang med implementere en central adgangskontrol til netværksudstyret, som fremadrettet kan understøtte passwordspolitiken MedCom har sikret loggen, så medarbejdere eller konsulenter, der ændrer på SDN, ikke kan ændre eller slette i loggen. (ISO ref. A ) Også opfølgning på 2015 Vi vurderer, at MedCom har sikret loggen, så medarbejdere eller konsulenter, der ændrer på SDN, ikke kan ændre eller slette i loggen. Gennemgangen har vist, at logs fra Aftalesystemet, databasen og SDN-netværket opsamles i driftsleverandørens (Netics) centrale logsystem SPLUNK (som er en SIEM løsning). Vi har konstateret, at MedCom har sikret, at ingen netværksadministratorer (Netdesign) samtidig har adgang til det centrale logsystem SPLUNK. Gennemgang har også vist, at MedCom og driftsleverandøren har adgang til hver sin version af SPLUNK, så de gensidigt kan kontrollere hinandens handlinger, men ikke ændre eller slette i hinandens SDN-logfiler. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 7/12

8 Etablering af sikker drift af SDN Vi har undersøgt, om MedCom har sikret en stabil og sikker drift af SDN. Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har stillet relevante it-sikkerhedskrav til leverandørernes håndtering af SDN og følger løbende op herpå. (ISO ref. A og A ) Vi vurderer, at MedCom har stillet relevante it-sikkerhedskrav til leverandørernes håndtering af SDN, og følger løbende op herpå. Gennemgangen har vist, at MedCom har udarbejdet et bilag til kontrakten om sikkerhedsforvaltning af SDN. I bilaget har MedCom beskrevet deres krav til leverandørenes it-sikkerhed i forhold til bl.a. risikovurdering, beredskab, fysisk sikkerhed, funktionsadskillelse, sikkerhedstest og logning mv., MedCom følger bl.a. op på disse sikkerhedskrav på de månedlige driftsmøder med leverandørerne, hvor forhold vedrørende it-sikkerhed er et fast punkt på dagsorden. MedCom har desuden årligt bestilt og modtaget en ISAE 3000-erklæring fra ekstern revisor, der forholder sig til MedComs overholdelse af persondataloven i forbindelse med forvaltningen af SDN. Ekstern revisors revision omfatter også en teknisk gennemgang af SDN hos driftsleverandøren på de relevante områder fx adgangsstyring. Både MedComs brugergruppe og MedComs styregruppe behandler og følger op på denne erklæring, ligesom eventuelle bemærkninger bliver indarbejdet i risikovurdering og handleplaner om SDN. MedCom har også, som noget nyt i år, modtaget en ISAE 3000-erklæring fra driftsleverandørens eksterne revisor, som er en erklæring vedrørende behandlingssikkerhed for persondata vedrørende driftsleverandørens serviceydelser. MedCom har oplyst, at ekstern revisors bemærkninger fra denne erklæring, ligeledes vil blive indarbejdet i MedComs risikovurdering og handleplaner om SDN. Endelig modtager MedCom årligt en generel erklæring fra driftsleverandøren, der er en gennemgang af driftsleverandørens generelle it-kontroller. Denne revisorerklæring følges op på driftsmøderne med leverandørerne. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 8/12

9 Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har sikret, at SDN har en hensigtsmæssig teknisk løsning. Vi vurderer, at MedCom har sikret, at SDN har en hensigtsmæssig teknisk løsning. (ISO ref. A og A ) Gennemgangen har vist, at SDN er opbygget som et transportnet, hvor Aftalesystemet kontrollerer og åbner for de services, der har adgang gennem netværket. Aftalesystemet lukker endvidere automatisk for adgangen når aftalen ophører MedCom har etableret procedurer til håndtering af ændringer på SDN. (ISO ref. A ) Vi vurderer, at MedCom har etableret procedurer til håndtering af ændringer på SDN. Gennemgangen har vist, at MedCom sammen med leverandørerne har formaliserede og dokumenterede ændrings- og sikkerhedsopdateringsprocedurer. Både MedCom og leverandørerne kan anmode om ændringer og er fælles om at evaluere dem. Dertil har MedCom ansvaret for at godkende ændringerne og kommunikere dem ud til brugerne, mens leverandørerne har ansvaret for at beskrive, kvalitetssikre, teste, implementere og dokumentere ændringerne MedCom har sikret en tilstrækkelig backup af SDN. Ændringer styres og dokumenteres i leverandørernes sagsstyringssystem, i månedsrapporter og referater fra driftsmøder. Vi vurderer, at MedCom har sikret en tilstrækkelig backup af SDN. (ISO ref. A ) Gennemgangen har vist, driftsleverandøren tager backup af konfigurationerne på netværksudstyret, som er den vigtigste del på SDN, da det er den del, der styrer Aftalesystemet og bestemmer, hvem der må kommunikere med hvem. Driftsleverandøren tager backup af netværksenhederne til en backupserver en gang i timen. Backuppen dokumenteres i månedsrapporter og eventuelle fejl behandles på driftsmøder. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 9/12

10 Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har sikret, at SDN er tilstrækkeligt sikkerhedsopdateret. Vi vurderer, at MedCom har sikret, at SDN er tilstrækkeligt sikkerhedsopdateret. Gennemgangen har vist, at leverandørerne hver måned (ISO ref. A ) kontrollerer, om der er kommet nye opdateringer til de forskellige netværksenheder. På baggrund af leverandørernes anbefalinger træffer MedCom, på de månedlige driftsmøder, beslutning om hvilke sikkerhedsopdateringer som skal foretages MedCom har sikret logning og overvågning af netværkstrafikken på SDN. (ISO ref. A ) Vi vurderer, at MedCom har sikret logning og overvågning af netværkstrafikken på SDN. Gennemgangen har vist, at leverandørerne hver måned udtrækker en rapport fra de enkelte netværksenheder. Rapporterne viser bl.a., hvilke typer af trafik som er kørt igennem SDN, belastningen af SDN, samt tilgængeligheden på SDN. MedCom gennemgår rapporterne sammen med leverandørerne på de månedlige driftsmøder MedCom har sikret en tidssvarende kryptering af trafikken over offentlige net, herunder internettet. (ISO ref. A ) Vi vurderer, at MedCom har sikret en tidssvarende kryptering af trafikken over offentlige net, herunder internettet. Gennemgangen har vist, at MedCom har stillet krav til brugerne og leverandørerne, at VPN-forbindelserne som minimum skal have en AES256-kryptering implementeret. De VPN-forbindelser, som MedCom kontrollerer, er alle krypteret med denne styrke. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 10/12

11 Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har identificeret hvilke ricisi, der kan forekomme i forbindelse med SDN s eksponering på internettet. Vi vurderer, at MedCom har identificeret hvilke ricisi, der kan forekomme i forbindelse med SDN s eksponering på internettet. Gennemgangen har vist, at Aftalesystemet og VPNadgangene er tilgængelige fra internettet. Også opfølgning på MedCom har beskyttet Aftalesystemet med en 2-faktorauthentifikeringsløsning. MedCom får desuden foretaget kvartalsvise sårbarhedsskanninger af de internetvendte IPadresser. Sårbarhedsskanningerne følges op på driftsmøderne med leverandørerne. Gennemgangen har også vist, at MedCom har fravalgt at få foretaget egentlige penetrationstest, da de vurderer, at de kvartalsvise sårbarhedsskanninger samt den løbende dialog om sikkerhed på driftsmøderne tilsammen udgør et tilstrækkeligt grundlag til at styre tekniske sårbarheder MedCom har implementeret procedurer til håndtering af incidents mv. på SDN. (ISO ref. A og ISO A ) Vi vurderer, at MedCom har implementeret procedurer til håndtering af incidents mv. på SDN. Gennemgangen har vist, at MedCom har udarbejdet procedurer til håndtering af incidents og sikkerhedshændelser mv. Vi har konstateret, at håndteringen af incidents dokumenteres og behandles via månedsrapporter og driftsmøder. MedCom orienterer ligeledes SDN-brugergruppen og SDN-styregruppen om væsentlige hændelser. Gennemgangen har også vist, at SDN ikke har været ramt af egentlige sikkerhedshændelser i de seneste par år. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 11/12

12 Nr. Kontrolmål Observation Risiko Anbefaling/Bemærkninger Prioritet Opfyldt MedCom har sikret, at der er etableret og testet redundans på SDN. (ISO ref. A ) Vi vurderer, at MedCom har sikret, at der er etableret og testet redundans på SDN. Gennemgangen har vist, at MedCom har etableret redundans på alle netværksenheder, og at leverandørerne tester redundansen ved opsætningen. I forbindelse med opsætning af nye netværksenheder udarbejder leverandørerne dokumentation af, hvad der er blevet testet, og at redundansen har virket efter hensigten. Ikke opfyldt, Delvist opfyldt, Opfyldt. Prioritet angives som 1, 2 eller 3, hvor 1 er mest væsentlig. 12/12