Revisionsrapport Revision af generelle it-kontroller 2018

Transkript

1 Delitte Statsautriseret Revisinspartnerselskab CVR-nr Weidekampsgade 6 Pstbks København C g Telefn Telefax Københavns Kmmune Øknmifrvaltningen Att.: Adm. direktør Peter Stensgaard Mørch Københavns Rådhus 1599 København V Revisinsrapprt Revisin af generelle it-kntrller 2018 Indledning Sm led i den løbende revisin af Københavns Kmmunes regnskab fr 2018 har vi fretaget revisin af de generelle it-kntrller, sm understøtter kmmunens regnskabsaflæggelse. Rapprteringen er pbygget på følgende måde: 1. Frmål, mfang mv. 2. Ledelsesresume g knklusiner 3. Observatiner, risikvurderinger g anbefalinger 4. Frmidling af risik g. 1. Frmål, mfang mv Revisinens frmål Revisin af de generelle it-kntrller er en del af den lvpligtige revisin g indgår i grundlaget fr vres påtegning af Københavns Kmmunes årsregnskab. De generelle it-kntrller er de kntrller, sm er etableret i g mkring virksmhedens væsentlige it-platfrme med henblik på at pnå en velkntrlleret g sikker it-anvendelse g dermed gså understøtte de it-baserede frretningsprcesser, sm har betydning fr Københavns Kmmunes regnskabsaflæggelse. Sm en del af revisinen udvælges endvidere enkelte it-mråder til den lvpligtige frvaltningsrevisin. Revisinens frmål er dels at understøtte den lvpligtige frvaltningsrevisin g dels at undersøge, m de generelle it-kntrller er udfrmet g implementeret på en hensigtsmæssig måde vedrørende Kvantum, KMD Opus Debitr g KMD Aktiv, samt m kntrllerne har fungeret i hele revisinsperiden. Det bedste værn md uregelmæssigheder er hensigtsmæssige frretningsgange g gde interne kntrller, hvrfr vres revisin i vidt mfang har baseret sig på efterprøvelse af frretningsgange g interne kntrller, men ikke undersøgelser med henblik på pdagelse af uregelmæssigheder. Det påhviler ledelsen at tilrettelægge kntrlsystemer g frretningsgange, der er betryggende efter kmmunens frhld, g det påhviler revisr at gennemgå disse frretningsgange g interne kntrller sm et led i revisinen af årsregnskabet Revisinens mfang g afgrænsning Revisinen er baseret på en frventning m, at der er tilrettelagt et velfungerende internt kntrlsystem g en pålidelig bgføring. Dette indebærer, at det verrdnede kntrlmiljø g de rganisatriske rammer understøtter et velfungerende ledelses- g kntrlsystem, g at der på de enkelte Delitte Tuche Thmatsu Limited Delitte er en betegnelse fr en eller flere af Delitte Tuche Thmatsu Limited ( DTTL ), dets netværk af medlemsfirmaer g deres tilknyttede virksmheder. DTTL (der gså mtales sm Delitte Glbal ) g alle dets medlemsfirmaer udgør separate g uafhængige juridiske enheder. DTTL leverer ikke ydelser til kunderne. Vi henviser til fr nærmere plysninger.

2 aktivitetsmråder er beskrevet g implementeret interne kntrller, sm reducerer risiken fr væsentlige fejl til et acceptabelt niveau. Omfanget af vres arbejde fastlægges ud fra vres samlede vurdering af g risik fr væsentlige fejl i regnskabsaflæggelsen. Lvpligtig revisin Revisinen er tilrettelagt således, at ikke alle mråder gennemgås hvert år; dg således, at alle fr regnskabet væsentlige mråder bliver gennemgået samt væsentlige kntrlsvagheder altid bliver fulgt p ved efterfølgendes års revisin. Revisinen har mfattet en vurdering af generelle it-kntrller inden fr nedennævnte mråder: It-sikkerhedsstyring: Primært tilstedeværelsen af it-risikanalyse, it-sikkerhedsplitik g it-beredskabsplan It-sikkerhedsadministratin: Særligt fkus på prcesser fr prettelse, nedlæggelse g peridisk review af brugeradgange Lgisk sikkerhed: Fkus er på den lgiske adgangsvej til systemerne herunder passwrd g styring af brugerprfiler Change management: Prcesser fr vedligehldelse af Kvantum, KMD Opus Debitr g KMD Aktiv. Revisinen af de generelle it-kntrller har ikke mfattet en vurdering af kntrl- g sikkerhedsniveauet i de enkelte brugersystemer, herunder autmatiske kntrller i de administrative prcesser g lgiske adgangsrettigheder til udførelse af frretningsaktiviteter i brugersystemerne. Københavns Kmmune har aftale med KMD mkring drift af KMD Kvantum, KMD Opus Debitr g KMD Aktiv g tilhørende platfrme. Der mdtages årligt en revisinserklæring fr de generelle it-kntrller mfattende KMD s generelle driftsydelser samt en årlig specifik erklæring til KMD Kvantum, g en årlig specifik erklæring til KMD Opus. Frvaltningsrevisin Frvaltningsrevisinen har mfattet en vurdering af igangsatte aktiviteter inden fr nedennævnte mråder: KIT s nye kncept fr risikvurderinger Rettighedsstyring i E-dc Gvernance-mdellen fr anvendelse af SIEM Gvernance-mdellen fr udvikling g drift af rbtter/autmatiserede prcesser. I følgende afsnit har vi beskrevet vres revisin af de fire udvalgte frvaltningsmråder. KIT s kncept fr sikkerhedsvurderinger Københavns Kmmune fik i 2014 fretaget en ekstern vurdering af kmmunens mdenhed inden fr itsikkerhedsledelse g risikstyring. Det blev i mdenhedsvurderingen knstateret, at it-sikkerhedsledelsen g risikstyringen i 2014 var mangelfuld på en række centrale mråder. På baggrund heraf har Kncern-IT (herefter KIT) i 2017 fået til pgave at stå fr prcessen til udarbejdelse af nye itrisikvurderinger i Københavns Kmmune. Sm et led i Delittes revisin i 2018 har vi gennemgået KIT s kncept fr risikvurderinger. Vi har knstateret, at kncept fr it-sikkerhedsvurderinger/risikvurderinger har indarbejdet et trusselskatalg samt et katalg ver sikringsfranstaltninger, sm skal gennemgås fr hvert system, hvr der skal udarbejdes en risikanalyse. Det er vres vurdering, at trusselskatalget g katalget ver sikringsfranstaltninger giver et gdt fundament til udarbejdelse af risikanalyserne. I frhld til ISO 2

3 27001 rammeværket er KIT s katalget ver sikringsfranstaltninger ikke struktureret efter kntrlmråderne fra annex A i ISO Vi ser primært tre mråder, hvr vi anbefaler en styrkelse af kncept fr it-risikvurderinger: Vi anbefaler, at der udarbejdes en Statement f Applicability (SA) med en begrundelse fr eventuelle fravalgte annex A kntrller. I SA dkumentet vurderes, hvrvidt en kntrl er relevant eller kan undlades ud fra en betragtning, m kntrllen er best practices, et lvligt-, et kntraktuelt- eller et frretningskrav. Vi anbefaler, at den initiale risik, g hvilke sikringsfranstaltninger sm er vurderet relevante fr systemet, g hvad den endelig risik er, når sikringsfranstaltninger er medregnet, dkumenteres. Derved pnås en risik før g efter sikringsfranstaltninger er taget i betragtning. Det vil give mulighed fr at få tydeliggjrt, hvilken påvirkning den enkelte sikringsfranstaltning har på risiken. Endvidere anbefaler vi, at risikanalysen får større ledelsesfrankring på KK niveau. Risikvurderingen bør altid gdkendes af det relevante ledelsesniveau. Risikhåndteringsplanen kan i praksis benyttes sm en anbefaling/indstilling fra infrmatinssikkerhedsudvalget til ledelsen. Her anføres det, hvilke tiltag sm bør indføres, g hvilke risici sm bør accepteres med udgangspunkt i de fastsatte kriterier fr risiktlerance. Selvm risici reduceres ved at indføre yderligere kntrller, vil der i de fleste tilfælde altid være en restrisik. Det er vigtigt, at der i risikhåndteringsplanen fretages en vurdering af de valgte kntrllers effekt på risiken, g at den tilbageværende risik vurderes g beskrives, g at ledelsen gdkender dette, da risiktlerance bør være afstemt på relevant ledelsesniveau. Rettighedsstyring i E-dc Delitte har i frbindelse med 2018 revisinen fretaget en gennemgang af frretningsgangen fr styring af brugerrettigheder i E-dc. Vi har endvidere i E-dc stikprøvevist inspiceret på sags- g gruppeniveau, at tildelte rettigheder i E-dc var i verensstemmelse med rekvirerede rettigheder. I frbindelse med vres inspektin af rettigheder på sags- g gruppeniveau fandt vi ingen afvigelser. Vi knstaterede, at der i frretningsgangen fr rettighedsstyring i E-dc, lægges p til, at det er de enkelte autrisatinsansvarlige i frvaltningerne, sm skal sikre, at der fretages en peridisk revurdering af tildelte rettigheder. Dg er der ingen pfølgning på, m de autrisatinsansvarlige gså har udført den peridisk revurdering, g ved frespørgsel hs udvalgte autrisatinsansvarlige har det ikke været muligt at fremfinde dkumentatin på, at de peridiske revurderinger af brugerrettigheder i E-dc var udført. Vi anbefaler således, at der prettes en frmel kntrl til peridisk revurdering af brugerrettigheder, g at kntrllen får tildelt en central kntrlejer. Kntrllen kunne med frdel placeres i Kncernservice Brugeradministratin, sm kunne have ansvaret fr, at de enkelte autrisatinsansvarlige i frvaltningen gennemfører deres peridiske revurdering. Gvernance-mdellen fr anvendelse af SIEM Københavns Kmmunes SIEM-løsning blev anskaffet i april 2015 sm en del af en flerårig indsats med fkus på at styrke it-sikkerheden i Københavns Kmmune. Anskaffelsen lå i frlængelse af PwC s mdenhedsanalyse fra 2014 på it-sikkerhedsmrådet, der viste et markant frbedringsptentiale generelt på it-sikkerhedsmrådet. I analysen blev især manglende vervågning g lgning af kmmunens it-aktiviteter fremhævet, hvrfr Security Infrmatin and Event (SIEM) vervågningsværktøjet blev anskaffet sm en investering. Implementering af SIEM-løsningen blev gennemført i andet halvår Med virkning fra 1. januar 2016 blev der i KIT s sikkerhedskntr ansat et særligt mnitreringsteam til pbygning af den nye funktin. Efter en række tekniske tilpasninger har SIEM-systemet siden ultim 2017 været i stabil drift. 3

4 Sm et led af revisinen i 2018 har Delitte gennemgået KIT s gvernance-mdel fr SIEM, g vi har identificeret følgende frbedringspunkter: Det primære frmål med at implementere SIEM-løsningen er at detektere trusler md kritiske aktiver i tide til at kunne afbøde den skade, sm truslerne kunne frårsage, eller ideelt set helt at undgå truslerne. Fr at pnå dette frmål er risikhåndteringsprcessen i de syv frvaltninger afgørende. Fr at kunne øge kendskabet til den nuværende risikrapprteringsprces g fr at fremhæve den psitive indvirkning risikrapprtering har på alle niveauer, anbefales det, at en risik awareness wrkshp afhldes fr de syv frvaltninger. Wrkshppen bør fkusere på følgende mråder: Linket mellem en frretningsrisik g en infrmatinssikkerhedsrisik Risikejerskab Risikidentifikatin g rapprtering Risk management Risikhåndtering i kntekst med SIEM Praktisk risikdemnstratin. Københavns Kmmune er pålagt at følge ISO 27001, sm er en industristandard fr infrmatinssikkerhedshåndtering. Standarden dikterer, hvrdan infrmatinssikkerhed håndteres baseret på risici, g hvrdan kntrlfranstaltninger implementeres. Kendskabet i frvaltningerne til prcessen er afgørende, vi anbefaler derfr, at der afhldes en ISO awarenes wrkshp fr frvaltninger. Wrkshppen bør fkusere på følgende mråder Overblik ver infrmatinsmanagementsystemet (ISMS) Betydningen af risici i ISMS De bligatriske klausuler Kntrlgrupperne (g hvrdan de udvælges) The plan, d, check, act cyklus fr kntinuerlige frbedringer. En af de udfrdringer, sm SIEM mnitreringsteamet står verfr, er, at der ikke er en gd frståelse på kntrchefniveau af, hvad SIEM-mnitreringen gør, g hvrfr det er vigtigt. Vi anbefaler derfr, at der ligeledes gennemføres en wrkshp eller præsentatin af SIEMmnitreringsteamets ansvar g frmål fr frvaltningerne Et af de vigtigste mråder i frhld til at frbedre mdenheden af infrmatinssikkerhedsniveauet (i dette tilfælde SIEM) er den dkumentatin g de retningslinjerne, sm supprterer SIEMløsningen. Dkumentatin skal være passende, effektivt kmmunikeret til relevante parter, have krrekt ejerskab g kunne håndhæves. Dkumentatin skal gså beskrive sikkerhedsfrmålet, g hvrdan det tilsigtes pnået. Vi anbefaler således, at der fretages en detaljeret revurdering af dkumentatinen g retningslinjerne, sm understøtter SIEM-løsningen, med det frmål at få pbygget den krrekte struktur g få maximeret udbyttet af dkumentatinen. Gvernance-mdellen fr udvikling g drift af rbtter/autmatiserede prcesser Sm et sidste led af it-revisinen (frvaltningsrevisin) fr 2018 har vi fretaget en revisinen af Københavns Kmmunes gvernance fr udvikling g drift af rbtter/autmatiserede prcesser. I relatin til udviklingsfasen rganiseres prjekterne i en styregruppe g et kerneteam. Styregruppen består af prcesejeren, ejeren af Rbtics Prcess Autmatin (CE) i kmmunen g leveranceansvarlige. Det er i styregruppen, at beslutninger m de rette prjektdeltagere, øknmi g ændringer til frretnings-/rbtprcessen træffes. Kerneteamet er det udførende samarbejde i prjektet, hvr kmbinatinen af frretningens fagprceskendskab g RPA leverandørens prcesknsulent/-udvikler krtlægger, designer g udvikler rbttens arbejde. I frbindelse med den daglige drift af rbt-kørslerne har KIT RPA en fuldtids peratør. Det er dennes pgave at sikre, at alle rbtter kører, sm de skal, g efter de aftalte tider i driftsaftalerne. Til 4

5 administratin g vervågning af rbt-kørslerne benyttes værktøjet Uipath. Ved fejl i kørslerne er det peratørens pgave at fretage fejlfinding. Der skelnes imellem t typer af fejl: Applikatinsfejl Frretningsfejl eller undtagelse fr frretningsregler. Applikatinsfejl er den type fejl, sm et systemnedbrud f.eks. ville frårsage. Det er KIT RPA s pgave at rette disse typer af fejl, g hvis sådan en fejl har resulteret i fejlagtig sagsbehandling, er det KIT RPA s pgave at rette henvendelse til frvaltningen, så de kan rette p på den eller de pågældende sager. Ved frretningsfejl er der i stedet tale m fejl, sm man ved kan pstå under sagsbehandlingen, g sm vil resultere i, at man behandler sagen anderledes end hvedparten af sagerne. Det er frvaltningernes ansvar at vervåge g håndtere frretningsfejl. Vi ser primært tre mråder, hvr vi anbefaler en styrkelse af frretningsgangene fr udvikling g drift af rbtter/autmatiserede prcesser: En styrket kntrl af, hvem der har adgang til uipath i frm af en frmel peridisk gennemgang af tildelte adgange At udførte testhandlinger dkumenteres, g at de dkumenterede testhandlinger indgår i vurdering af, hvrvidt rbtten er klar til prduktin At det præciseres i driftsaftalerne, hvem der er ansvarlige fr at vervåge input/utput af rbtterne (frretningsfejl) Revisinsarbejdets udførelse Revisinen er udført på grundlag af gdkendt revisinsplan fr 2018 g ved interviews af relevant persnale hs Københavns Kmmune samt ved bservatiner g stikprøvevis gennemgang af udleveret materiale. 2. Ledelsesresume g knklusin It-revisinen har givet anledning til i alt 3 revisinsbemærkninger samt tre revisinsbemærkninger, sm vi har kunne lukke. Af de afgivne revisinsbemærkninger kan: Tre revisinsbemærkninger henføres til en ny bemærkning i frbindelse med den udførte itrevisin Ingen revisinsbemærkninger henføres fra tidligere år til revisinen af årsregnskabet Ingen revisinsbemærkninger fra tidligere år vurderes helt lukket i frbindelse med den udførte revisin Ingen revisinsbemærkninger henføres til andre bemærkning i frbindelse med frvaltningsrevisin Revisinserklæringer Der mdtages prim 2019 revisinserklæring fr de generelle it-kntrller mfattende KMD s generelle driftsydelser samt en specifik erklæring til KMD Kvantum g en specifik erklæring til KMD Opus. 5

6 3. Observatiner, risikvurdering g anbefaling Observatiner pdeles i henhldsvis: 1. Nye bemærkninger i frbindelse med den udførte it-revisin (3.1) 2. Bemærkninger fra tidligere år, g hvrtil det vurderes, at disse delvist videreføres i indeværende år (3.2) 3. Bemærkninger fra sidste år, der i frbindelse med it-revisinen er knstateret lukket (3.3) 4. Andre bemærkninger (3.4) Nye bemærkninger i frbindelse med den udførte it-revisin Organisatinsmråde i KK Øknmifrvaltningen (ØKF) Revisinsmråde/ emne Ref. Observatin Risikbeskrivelse Anbefaling Generelle it-kntrller g udvalgte mråder til frvaltningsrevisin Risik g Styring af brugerrettigheder g systemadgange Peridisk revurdering (KMD Opus, KMD Aktiv, Kvantum g E- dc) Vi har fået plyst, at der ikke fretages en peridisk gennemgang af brugere g tildelte rettigheder i KMD Opus, KMD Aktiv g E-dc, ligesm der ikke fretages en vurdering af funktinsadskillelsen i systemerne. Vedr. Kvantum har vi knstateret, at den peridiske revurdering alene er fretaget fr brugere tilknyttet SAP Kmpetencecentret g ikke fr samtlige frvaltninger. Fratrædelser (KMD Opus, KMD Aktiv, Kvantum) Vi har fået plyst, at den centrale brugeradministratin ikke i alle tilfælde får besked m brugerfratrædelser eller rkader, hvr medarbejdere skal nedlægges i systemerne. Derudver har vi i frbindelse med vres stikprøvegennemgang af fratrådte brugere knstateret, at en række fratrådte brugere frtsat er aktive i KMD Opus, KMD Aktiv g KMD Kvantum. Oprettelser (KMD Aktiv) Vi har i frbindelse med vres stikprøvegennemgang af brugerprettelser i KMD Aktiv knstateret, at der ikke i alle tilfælde freligger en prettelsesanmdning/gdkendelse. Det har således ikke været muligt at mdtage dkumentatin fr 4/25 stikprøver til KMD Aktiv. Manglende eller utilstrækkelig kntrl med systemrettigheder g systemadgange til brugere medfører en øget risik fr, at brugeradgange misbruges samt at brugeres rettigheder bliver utidssvarende g ikke afspejler deres arbejdsmæssigt betingede behv. Vi henstiller, at der fretages en frmel vurdering af funktinsadskillelsen i KMD Opus, KMD Aktiv, Kvantum g E-dc således, at der på baggrund af en knkret risikvurdering udarbejdes en versigt ver rller/adgangsrettighede r, der - ud fra ønsket m prethldelse af en rganisatrisk funktinsadskillelse - ikke bør tildeles til samme brugere. Yderligere henstiller vi, at der peridisk fretages en dkumenteret revurdering af tildelte rettigheder til brugere i KMD Opus, KMD Aktiv, Kvantum g E-dc. Vi henstiller, at der i frbindelse med brugeres fratrædelser - såvel medarbejdernes egne psigelser sm afskedigelser - gennemføres en knkret risikvurdering af, hvrledes brugerens rettigheder til systemer, data g netværk skal håndteres, g at rettighederne fratages brugeren på baggrund heraf. Vi henstiller, at brugeradministratinspr ceduren følges, således at tildeling af rettigheder til brugere sker på baggrund af frmelle g dkumenterede autrisatiner. 6

7 Organisatinsmråde i KK Øknmifrvaltningen (ØKF) Revisinsmråde/ emne Ref. Observatin Risikbeskrivelse Anbefaling Generelle it-kntrller g udvalgte mråder til frvaltningsrevisin Risik g Kvantum Standard prfiler med udvidede rettigheder SAP_ALL Vi har knstateret, at fire persnlige brugere er tildelt SAP_ALL rettigheder i KP5. Derudver har vi knstateret, at den persnlige prfil Z8QGB er tildelt SAP_ALL rettigheder på KPA. Yderligere har vi knstateret, at en række dialgbrugere er tildelt SAP_ALL rettigheder på KP0, KP5, KP6 samt KPA. Vi har endvidere knstateret, at et antal kmmunikatinsbrugere med SAP_ALL rettigheder er knfigureret med typen Dialg. SAP* g DDIC Vi har knstateret, at SAP standardbrugerne SAP* g DDIC ikke er blevet låst eller udløbet. Ved ikke at begrænse brugere, der har fået tildelt SAP_ALL i prduktinen, frøges risiken fr uautriserede ændringer til systemet, data mv., da SAP_ALL giver ubegrænset adgang til SAP. Vi henstiller, at SAP_ALL fjernes fra alle brugere, undtagen dedikerede nødbruger-id er. Vi henstiller, at kmmunikatinsbrugere ændres til typen Kmmunikatin eller System. Vi henstiller, at SAP* g DDIC låses fr at reducere risiken fr misbrug Kvantum Change management - Test Vi har fr Kvantum knstateret, at der ikke er stillet frmelle krav til den gennemførte tests mfang, kvalitet g dkumentatin. Yderligere har vi i frbindelse med vres stikprøvegennemgang af gennemførte ændringer knstateret, at der ikke i alle tilfælde freligger dkumentatin fr gennemført test g testgdkendelse. Manglende eller utilstrækkelig anvendelse g gdkendelse af testplaner g - scenarier i frbindelse med test af ændringer medfører risik fr, at kvaliteten g mfanget af gennemførte test g resultaterne heraf ikke er i verensstemmelse med frventningerne, g dermed at der idriftsættes fejlbehæftede tilretninger. Vi henstiller, at der i frbindelse med alle ændringer til idriftsættelse sker dkumentatin af den gennemførte tests mfang g kvalitet. 7

8 3.2. Bemærkninger fra tidligere år, g hvrtil det vurderes, at disse delvist videreføres i indeværende år Organisatinsmråde i KK Frvaltningerne Revisinsmråde/ emne Ref. Observatin Risikbeskrivelse Anbefaling Generelle it-kntrller g udvalgte mråder til frvaltningsrevisin Risik g It-sikkerhedsvurderinger Vi har fået plyst, at KK i samarbejde med PwC har fretaget en mdenhedsanalyse, sm har resulteret i en risikstyringsmdel, der beskriver de aktiviteter, sm skal udføres fr at skabe et samlet risikbillede. Risikstyringsmdellen er frelagt til bestyrelsens gdkendelse. KK frventer, at risikanalyser fr de enkelte frvaltninger udarbejdes i løbet af Status 2018 Vi har i periden fra den 1. januar til den 19. december 2018 knstateret, at sikringsfranstaltninger i KIT s kncept fr udarbejdelse at itrisikanalyser/sikkerhedsvurderinge r ikke er sammenhldt med annex A kntrllerne i ISO Vi har endvidere knstateret, at det ikke er fyldestgørende dkumenteret, hvrdan sammenhængen er mellem den initiale risik, g hvilke sikringsfranstaltninger sm er vurderet relevante fr systemet, g hvad den endelig risik er, når sikringsfranstaltninger er medregnet. Endvidere har vi knstateret en svag/manglende ledelsesfrankring på KK niveau i frhld til at få fastsat risikejerskab g risiktlerance. Vi har per den 20. december 2018 knstateret, at KIT har pdateret deres sikkerhedsvurderinger, således at: 1) de er kblet p på ISO standarden 2) der er sammenhæng mellem den initiale risik, sikringsfranstaltninger sm er vurderet relevante g hvad den endelig risik er, når sikringsfranstaltninger er medregnet 3) det er kmmunikeret til direktinen. Endvidere er det knstateret, at der freligger færdige sikkerhedsvurderinger fr 11 systemer, sm er identificeret sm de mest kritiske af øknmifrvaltningen. utilstrækkelig itrisikanalyse medfører risik fr, at det etablerede itsikkerheds-niveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Vi har i periden 1. januar til 18. december anbefalet, at 1) sikkerhedsvurderinger knyttes til ISO standarden 2) risikanalysen får større ledelsesfrankring på KK niveau. Vi anbefaler, at der kmmer større sammenhæng mellem den initiale risik, g hvilke sikringsfranstaltninger sm er vurderet relevante fr systemet, g hvad den endelige risik er, når sikringsfranstaltninger er medregnet. Derved pnås en risik før g efter sikringsfranstaltninger er taget i betragtning. Det vil give mulighed fr at få tydeliggjrt, hvilken påvirkning den enkelte sikringsfranstaltning har på risiken. KK har efterfølgende krrigeret frhldet, da de pdaterede sikkerhedsvurdering fr de mest kritiske systemer identificeret af Øknmifrvaltningen freligger per 20. december Dg anbefaler vi, at frvaltningsdirektinen gdkender risikappetitten g risikhåndteringsplanen. Dg mangler frvaltningsdirektinen at gdkende risikappetitten g risikhåndteringsplanen. 8

9 Organisatinsmråde i KK Frvaltningerne Revisinsmråde/ emne Ref. Observatin Risikbeskrivelse Anbefaling Generelle it-kntrller g udvalgte mråder til frvaltningsrevisin Risik g Beredskabsplaner Vi har knstateret, at itberedskabsplanen fr KK ikke har været pdateret siden Dette begrundes med, at KK har sat pdateringsarbejdet af beredskabsplanen i ber, da vervejelser af, hvilke tiltag der skal tages fr at styrke g mrganisere beredskabsplanen, er igangværende. Derudver er det plyst, at KK i 2017 har haft fkus på udarbejdelse af beredskabsplaner i de enkelte frvaltninger. Prjektet er igangværende g således ikke fuldført. Status 2018 Vi har fået plyst, at KK er ved at afrunde prjektet vedrørende udarbejdelsen af frretningsrienterede beredskabsplaner i de enkelte frvaltninger. Der er, efter det plyste, nedsat en arbejdsgruppe, sm har til pgave at tilpasse g fintune de udarbejdede beredskabsplaner. utilstrækkelig itberedskabsplan medfører risik fr, itsystemer ikke kan genetableres sm frventet i tilfælde af en sikkerhedshændelse. Vi anbefaler, at grundlaget fr g frmålet med beredskabsplanlægninge n fr de enkelte frvaltninger fastlægges g gdkendes frmelt af ledelsen, samt at pfyldelsen af kravene pr. system g platfrm efterfølgende dkumenteres g rapprteres til ledelsen. Yderligere anbefaler vi, at beredskabsplaner pdateres peridisk - minimum en gang årligt samt når andre faktrer indikerer nødvendigheden heraf. Derudver er det plyst, at skrivebrdstest er planlagt gennemført i Q Observatin prethldes. 9

10 3.2.3 Revisinserklæringer Københavns Kmmune har indgået aftale med KMD mkring drift af KØR g Kvantum g tilhørende platfrme. Der mdtages årligt en revisinserklæring fr de generelle it-kntrller, mfattende KMD s generelle driftsydelser. Vi har af KMD s revisr fået bekræftet, at Kvantums infrastruktur er mfattet af KMD s generelle driftsydelser. Dg henstiller vi, at der indhentes en specifik revisinserklæring fr Kvantum fr at pnå en højere grad af sikkerhed. KMD s revisr har endvidere plyst, at KØR ikke er mfattet af KMD s generelle driftsydelser, g at der ikke er afgivet en specifik erklæring fr KØR. Der kan således være frhld g risici relateret til den generelle drift af KØR i 2017, sm vi ikke bekendt med. Status 2018 utilstrækkelig vervågning af underleverandører medfører risik fr, at underleverandører ikke efterlever det frventede itsikkerhedsniveau. Vi frventer at kunne lukke punktet, når revisinserklæringer fr 2018 freligger Vi frventer at kunne lukke punktet, når revisinserklæringer fr 2018 freligger. Vi har knstateret, at Københavns Kmmune har anmdet deres leverandør m årligt at afgive en revisinserklæring fr de generelle it-kntrller mfattende KMD s generelle driftsydelser samt en årlig specifik erklæring til KMD Kvantum. Vi har endvidere knstateret, at der hvert andet år indhentes en specifik erklæring til KMD Opus. Vi frventer at kunne lukke punktet, når revisinserklæringer fr 2018 freligger 3.3. Bemærkninger fra sidste år, der i frbindelse med it-revisinen er knstateret lukket Organisatinsmråde i KK Frvaltningerne Revisinsmråde/ emne Ref. Observatin Risikbeskrivelse Anbefaling Generelle it-kntrller g udvalgte mråder til frvaltningsrevisin Risik g It-sikkerhedsplitik g it-sikkerhedsregler Vi har knstateret, at KK s itsikkerhedsplitik samt underliggende, uddybende itsikkerhedsregler ikke er gennemgået g reviewet siden Det er yderligere plyst, at sikkerhedsplitikker er planlagt til revidering i Q Status 2018 Vi har knstateret, at KK s itsikkerhedsplitik samt regulativ fr sikkerhedsregler er revurderet g mskrevet. Sikkerhedsplitikkerne er endvidere gdkendt af Brgerrepræsentatinen i juni Punktet lukkes. utilstrækkeligt itsikkerhedsplitik medfører risik fr, at det etablerede itsikkerhedsniveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Vi har ingen anbefaling, da frhldet vurderes udbederet. 10

11 Ref. Observatin Risikbeskrivelse Anbefaling Risik g Sikkerhedsprgram PwC har i 2014 vurderet, at Københavns Kmmunes mdenhed på daværende tidspunkt var mangelfuld på en række centrale mråder. I en pfølgende måling i 2016 er det vurderet, at der er sket en øget mdenhed på de mråder, hvr der er gennemført særlige tiltag, men at der samtidig var en del frbedringspunkter. På baggrund heraf har Københavns Kmmune udarbejdet et sikkerhedsprgram, sm skal medvirke til et generelt løft af itsikkerhedsarbejdet i kmmunen. Der bliver i sikkerhedsprgrammet freslået ni indsatsmråder, sm der arbejdes videre med, enten sm allerede igangsatte tiltag eller rganiseret sm nye prjekter. Et manglende eller utilstrækkeligt itsikkerhedsprgram medfører risik fr, at det etablerede itsikkerhedsniveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Vi har ingen anbefaling, da frhldet vurderes udbederet. Status 2018 Vi har fået plyst, at KK s Sikkerhedsprgram blev afsluttet i juni Fr enkelte mråder videreføres arbejdet sm selvstændige aktiviteter. Punktet lukkes IT-gvernance I revisinsrapprten fr 2016 påpeger Intern Revisin (IR), at der reelt mangler gvernance på itmrådet. IR anbefaler: At gvernance skal fastlægges i en række standardiserede styringsregler g retningslinjer fr anskaffelser At der sker en entydig placering af beslutningsansvaret sm en integreret del af kmmunens strategiske ledelsesarbejde At der arbejdes med en risikbaseret tilgang til styring af it-sikkerhed g itgvernance utilstrækkelig gvernance på itmrådet medfører risik fr, at det etablerede itsikkerhedsniveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Vi henstiller, at arbejdet med en styrket IT gvernance-mdel frsættes g gennemføres efter planen At der etableres en it-kreds til håndtering af den ledelsesmæssige frankring. Det er her afgørende, at tpledelsen er repræsenteret i kredsen. 11

12 Ref. Observatin Risikbeskrivelse Anbefaling Risik g Vi har i frbindelse med vres revisin 2017 knstateret, at kmmunen har udarbejdet en indstilling til styrket it-gvernance på it- g persndatamrådet, samt at it-gvernance-mdellen trådte i kraft den 1. januar 2018 med en række initiativer, der skal etableres i løbet af andet halvår 2018: Vi har ingen anbefaling, da frhldet vurderes udbederet. Etablering af en it-kreds på tværs af kmmunens frvaltninger Tværgående strategier Klar rlle- g ansvarsfrdeling i it-anskaffelsesprcesser. Vi er infrmeret m, at it-kredsens arbejdsprgram vil blive frelagt kredsen af administrerende direktører til gdkendelse i 1. kvartal Et cirkulære fr it-anskaffelser i KK frelægges fr ØU i 2. halvår Cirkulæret erstatter den gældende anskaffelsesvurderingsprces fra En samlet redegørelse med fkus på varetagelse af it-sikkerhedsmrådet frelægges fr ØU g BR ved udgangen af 1. halvår IT-gvernance Der udarbejdes en samlet status på it-kredsens arbejde i slutningen af 2018 til frelæggelse fr ØU. Status 2018 Vi er infrmeret m at: Der er udarbejdet et arbejdsprgram fr it-kredsen fr 2018, sm blev gdkendt af kredsen af administrerende direktører d. 22. februar 2018 Der er udarbejdet et cirkulære fr it-anskaffelser, sm blev gdkendt af BR d. 1. nvember 2018, g sm nu gælder fr alle anskaffelser. Cirkulæret fastsætter ansvarsfrdeling mellem Øknmifrvaltningen g fagfrvaltningerne ifm. anskaffelser g vil i 2019 blive understøttet af en fællesadministrativ frretningsgang på mrådet. Ligeledes udarbejdes i 2019 yderligere cirkulære fr drift, vedligehld g udfasning af systemer Der er i 2018 udarbejdet status fr 2017 til ØU m KK s itsikkerhed, g ifm. budgetvedtagelsen af budget 2019 er der afsat midler til at styrke it-sikkerheden på cybermrådet gennem både en række tekniske g rganisatriske tiltag. Der er udarbejdet en status til ØU på it-kredsens arbejde, sm er gdkendt af kredsen af administrerende direktører d. 13. december Sagen frelægges fr ØU d. 8. januar Punktet lukkes

13 Ref. Observatin Risikbeskrivelse Anbefaling Risik g Vi har fået plyst, at datatransprt fr så vidt angår persndata g værdidata altid skal fregå ved krypteret trafik, g at data på fysiske diske g USB (beskyttet med passwrd) sendes med persnlig verdragelse, g at der indhentes kvittering fr mdtagelse. Endvidere har vi bserveret, at der ikke sker ngen systematisk pfølgning på, m medarbejdere i mdstrid med reglerne pbevarer persndata på bærbare cmputere, g at data på disse cmputere ikke er krypteret. utilstrækkelig datasikkerhed medfører risik fr, at det etablerede itsikkerhedsniveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Vi har ingen anbefaling, da frhldet vurderes udbederet Datasikkerhed Endelig er det knstateret, at der hidtil ikke har freligget retningslinjer fr styring af mbile enheder (telefner g tablets), men at sådanne retningslinjer, startende i ktber 2015, er under indførelse i frbindelse med det såkaldte AirWatch-prjekt. Vi har endvidere knstateret, at der er implementeret en prcedure fr brtskaffelse af infrmatinsbærende medier, samt at der er igangsat et prjekt, hvr Windws 7 skal udskiftes med Windws 10, g i den frbindelse vil harddiske blive krypteret. Fr mbile enheder er AirWatch etableret, g der er udarbejdet frmelle retningslinjer. Vi har fået plyst, at implementering af Windws 10 Enterprise med Bitlcker er påbegyndt i februar 2018 g frventes afsluttet mkring Q Herved vil kmmunen sikre kryptering af alle harddiske. Status 2018 Vi har er infrmeret m, at implementering af Windws 10 Enterprise med Bitlcker er implementeret. Herved har kmmunen sikret kryptering af alle harddiske. Punktet lukkes. 13

14 3.4. Andre bemærkninger Organisatinsmråde i KK Øknmifrvaltningen (ØKF) Revisinsmråde/ emne Ref. Observatin Risikbeskrivelse Anbefaling Generelle it-kntrller g udvalgte mråder til frvaltningsrevisin Risik g Gvernance-mdellen fr anvendelse af SIEM Det primære frmål med at implementere SIEM-løsningen er fr at detektere trusler md kritiske aktiver i tide til at kunne afbøde den skade truslerne kunne frårsage eller ideelt set helt at undgå truslerne. Fr at pnå dette frmål er risikhåndteringsprcessen i de syv frvaltninger afgørende. Ved vres wrkshp har vi fået plyst, at kendskabet i frvaltningerne til risikhåndteringsprcessen er begrænset. Vi har endvidere fået plyst, at frvaltningernes kendskab til ISO 27001, sm Københavns Kmmune skal følge, ligeledes er begrænset. Vi har endvidere knstateret, at der i frvaltningerne mangler en general frståelse af, hvad SIEMmnitreringsteamet varetager. Et af de vigtigste mråder i frhld til at frbedre mdenheden af infrmatinssikkerhedsniveauet (i dette tilfælde SIEM) er den dkumentatin g de retningslinjer, sm supprterer SIEM-løsningen. Dkumentatin skal være passende, effektivt kmmunikeret til relevante parter, have krrekt ejerskab g kunne håndhæves. Dkumentatin skal gså beskrive sikkerhedsfrmålet, g hvrdan det tilsigtes pnået. Ved vres revisin har vi knstateret, at der mangler en general revurdering af dkumentatinen g retningslinjerne, sm understøtter SIEM-løsningen med det frmål at få pbygget den krrekte struktur g få maximeret udbyttet af dkumentatinen. utilstrækkeligt gvernance af SIEMløsningen medfører risik fr, at det etablerede itsikkerhedsniveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Fr at kunne øge kenskabet til den nuværende risikrapprteringsprce s g fr at fremhæve den psitive indvirkning risikrapprtering har på alle niveauer anbefaler vi, at en risik awareness wrkshp afhldes fr de syv frvaltninger. Wrkshppen bør fkusere på følgende mråder: 1. Linket mellem en frretningsrisik g en infrmatinssikkerhe dsrisik 2. Risikejerskab 3. Risikidentifikatin g rapprtering 4. Risk management 5. Risikhåndtering i kntekst med SIEM 6. Praktisk risikdemnstratin. Vi anbefaler, at der afhldes en ISO awareness wrkshp fr de syv frvaltninger. Wrkshppen bør fkusere på følgende mråder: 1. Overblik ver infrmatinsmanage mentsystemet (ISMS) 2. Betydningen af risici i ISMS 3. De bligatriske klausuler 4. Kntrlgrupperne (g hvrdan de udvælges) 5. The plan, d, check, act cyklus fr kntinuerlige frbedringer. Vi anbefaler, at der ligeledes gennemføres en wrkshp eller præsentatin af SIEMmnitreringsteamet fr de syv frvaltninger. Vi anbefaler, at der fretages en detaljeret revurdering af dkumentatinen g retningslinjerne, sm understøtter SIEMløsningen med det frmål at få pbygget den krrekte struktur g få maximeret udbyttet af dkumentatinen. 14

15 Ref. Observatin Risikbeskrivelse Anbefaling Risik g Gvernance-mdellen fr udvikling g drift af rbtter / autmatiserede prcesser Vi har knstateret, at der ikke fretages en frmel revurdering af tildelte rettigheder til uipath, sm benyttes til administratin g driftsvervågning af rbtterne. Vi har stikprøvevist gennemgået dkumentatin fr udførte testhandling inden en rbt idriftsættes. Vi har knstateret, at testhandlinger ikke frmelt dkumenteres. Vi har fået plyst, at KIT fretager driftsvervågning, men at frvaltningerne er ansvarlige fr den frretningsmæssige vervågning af deres rbtter. Vi har dg knstateret, at denne ansvarsfrdeling ikke er frmelt dkumenteret. utilstrækkeligt gvernance af autmatiserede prcesser medfører risik fr, at det etablerede it-sikkerhedsniveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Vi anbefaler, at der indføres en frmel peridisk gennemgang af tildelte adgange til uipath Vi anbefaler at udførte testhandling dkumenteres, g at de dkumenterede testhandling indgår i vurdering m, hvrvidt rbtten er klar til prduktin Vi anbefaler, at det præciseres i driftsaftalerne, hvem der er ansvarlige fr, at vervåge input/utput af rbtterne (frretningsfejl) It-risikanalyse - Kvantum Vi har knstateret, at KK i 2017 har iværksat en prces med henblik på vurdering g udvælgelse af fagsystemer, sm skal indgå i det påbegyndte risikvurderingsprjekt, hvr fkus primært er på systemer, sm indehlder persnfølsmme data. Desuden er det knstateret, at det nye Kvantum-system ikke har været mfattet af udvalgte systemer. Det er endvidere plyst, at der i frbindelse med idriftsættelse af systemet i 2017 er udarbejdet ibrugtagningstilladelse, hvri systemet er gdkendt på baggrund af en verrdnet risikvurdering. Priritering vil være gul fr denne. Status 2018 Vi har knstateret, at KK har udarbejdet en risikanalyse på Kvantum. utilstrækkelig itrisikanalyse medfører risik fr, at det etablerede itsikkerheds-niveau ikke i tilstrækkeligt mfang imødegår de risici, sm vurderes sm relevante. Vi anbefaler, at frvaltningsdirektinen gdkender risikappetitten g risikhåndteringsplanen. Dg mangler frvaltningsdirektinen at gdkende risikappetitten g risikhåndteringsplanen. 15

16 4. Frmidling af risik g mv. Vi har vurderet graden af risik g fr de enkelte bservatiner. Risik g er målrettet den reviderede decentrale enhed, hvr fejl kun ekstrardinært vil kunne give en fejl i det samlede regnskab. I tilknytning til den givne bservatin har vi påført en priritet ud fra følgende vurderingsgrundlag: Priritet 1 markeres med Priritet 1-markeringer anvendes fr risici, der anses fr kritiske. I frbindelse med beretninger kan det bserverede frhld efter nærmere vurdering eventuelt give anledning til en revisinsbemærkning En risik anses fr kritisk, såfremt der er en høj grad af sandsynlighed fr, at frhldet indtræffer g/eller har en betydelig effekt g/eller har en betydelig udbredelse Observatinen medtages i delberetninger g beretninger til Brgerrepræsentatinen. Priritet 2 markeres med Priritet 2-markeringer anvendes fr risici, der anses fr væsentlige. Observatinerne må ikke have en karakter, der kan medføre revisinsbemærkninger i årsberetningen En risik anses fr væsentlig, såfremt der er en middel grad af sandsynlighed fr, at frhldet indtræffer g/eller har en vis effekt g/eller har en vis udbredelse Observatinen medtages ikke i delberetninger g beretninger. Priritet 3 markeres med Priritet 3-markeringer anvendes fr risici, der anses fr mindre væsentlige, g sm derfr kun rapprteres til ledelsen sm pmærksmhedspunkter En risik anses fr mindre væsentlig, såfremt der er en lille grad af sandsynlighed fr, at frhldet indtræffer g/eller har en lille effekt g/eller har en lille udbredelse. 16

17 5. Afslutning Vi har knstateret følgende væsentlige mråder til frbedring: Der bør ryddes p i Kvantums SAP system, g standardbrugere g privilegerede rettigheder bør nedbringes g begrænses til medarbejdere med et arbejdsbetinget behv Brugeradministratinsprcessen bør generelt styrkes g frmaliseres yderligere herunder kntrller fr tildeling af adgang g rettigheder, lukning af adgange samt peridisk revurdering af tildelte rettigheder. Nærværende rapprt har i udkast været drøftet med relevante persner fr afklaring af eventuelle faktuelle fejl. Yderligere spørgsmål eller kmmentarer til rapprten kan rettes til Lars Krnw på telefn eller Jesper Due Sørensen på telefn København, den 14. februar 2019 Delitte Statsautriseret Revisinspartnerselskab Lars Krnw statsautriseret revisr Jesper Due Sørensen partner JHON/hakj/as T:\Afd1180\Københavns Kmmune\2019\Københavns Kmmune GIK-rapprt END dcx 17