Maj Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret

Transkript

1 Maj 2015 Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret 2014

2 Jesper Rerup-Dyrberg Bibi Hvalsøe From Egedal Kommune Dronning Dagmars Vej Ølstykke 12. maj 2015 Formål og omfang Formålet med gennemgangen har været at vurdere, hvorvidt der er etableret forretningsgange og interne kontroller, som sikrer tilfredsstillende generelle it-kontroller. De generelle it-kontroller er fundamentet for automatiske applikationskontroller, regnskabsprocedurer og systemgenererede data og rapporter, som anvendes i nøglekontroller, og som påvirker den finansielle rapporteringsproces og årsrapporten. Denne rapport vedrører kun de forhold, der er nævnt nedenfor, og kan ikke udstrækkes til at omhandle kommunens forretningsprocesser og interne kontroller som helhed. Rapporten er udarbejdet udelukkende til ledelsen hos Egedal Kommune og må ikke anvendes af eller videregives til tredjemand uden vores forudgående samtykke. Omfang Vi har foretaget gennemgang af, hvordan it-kontroller er tilrettelagt, og så vidt muligt hvordan disse kontroller er implementeret. Vi har endvidere foretaget test af it-kontroller via dataudtræk og gennemgang af modtaget dokumentation. Revisionen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: It-politikker og organisation Drift af datacentre og netværk (særligt fokus på serviceleverandører) Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer Gennemgangen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: 1. It-politikker og organisation: Udvikling og implementering af it-strategi og sikkerhedspolitikker Identifikation og vurdering af it-risici It-medarbejdere Styring af outsourcing-/serviceleverandører 2. Drift af datacentre og netværk 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 4. Adgangssikkerhed: Politikker og procedurer Beskyttelse af data og funktionsadskillelse 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer. PwC 2

3 Efter aftale med kommunen har vi tillige foretaget gennemgang af de generelle it-kontroller på udvalgte områder hos IT-Forsyningen I/S vedrørende systemer, som IT-Forsyningen I/S drifter for Egedal Kommune, da IT-Forsyningen I/S ikke har udarbejdet en ISAE 3402 erklæring Erklæringsopgaver med sikkerhed om kontroller hos en serviceleverandør der ellers vil muliggøre, at kommunen kan føre tilsyn med serviceleverandøren og relaterede aktiviteter. Det forventes, at IT-Forsyningen I/S udarbejder en ISAE 3402-erklæring, type 2 for regnskabsåret Vores arbejde, der er gennemført i perioden december 2014 til marts 2015, har baseret sig på en opfølgning af tidligere års anmærkninger og ændringer foretaget i 2014 som har betydning for kommunens it-kontroller og disses implementering. Vores arbejde er baseret på interview med medarbejdere fra Økonomistyring og Finans, medarbejdere i lønafdelingen samt medarbejdere fra IT-Forsyningen I/S og stikprøvevis gennemgang af modtagen dokumentation og dataudtræk. Konklusion Det er vores vurdering, at det interne kontrolmiljø hos kommunen fortsat på enkelte væsentlige områder bør styrkes, før de generelle it-kontroller kan anses for fuldt ud tilstrækkelige og effektive. Med virkning for 2014 har kommunen sammen med andre kommuner etableret et fælles itdriftssamarbejde, hvor it-driften er outsourcet i det fælles IT-Forsyningen I/S. Dette har bevirket, at en række it-funktioner nu varetages af IT-forsyningen I/S s medarbejdere i stedet for medarbejdere ansat hos kommunen. Overgangen fra intern it-drift hos den enkelte kommune til fælles itdrift i IT-Forsyningen I/S regi har efter vores opfattelse været en udfordring, som driftsselskabet fortsat arbejder på at få på plads. Året 2014 bærer således præg af at være et indkørings- og konsolideringsår, hvor systemer og procedurer har skulle overgå, iværksættes og justeres, hvilket har bevirket at kontrolbeskrivelser i det væsentligste er beskrevet i politikker og retningslinjer, men ikke er efterlevet på alle områder og derfor bør operationaliseres og tilpasses. Særligt på området for adgangssikkerhed bør kommunen, i samarbejde med IT-Forsyningen I/S, styrke de generelle itkontroller. En væsentlig del af informationssikkerhedsarbejdet er udarbejdelse og ajourføring af risikovurdering/konsekvensvurdering af kommunens it-systemer i samarbejde med systemejerne. Kommunen har ikke arbejdet videre hermed i Som følge af centralisering af it-driften i IT-Forsyningen I/S kan risikobilledet for kommunen have ændret sig væsentligt, hvorfor vi fortsat anbefaler, at risikovurderingen og sikkerhedspolitikken ajourføres i forbindelse med det videre arbejde med styrkelse af processer og kontroller i IT-Forsyningen I/S, herunder at der fastsættes specifikke krav til IT-Forsyningen I/S s kvalitet og leverancer. Ved vores gennemgang af brugerrettigheder i Prisme har vi observeret, at der fortsat er brugere, der er tildelt adgang gennem rollerne Betroet og Regnskab, der tilsammen muliggør adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med at brugerne også har adgang til at foretage registreringer. Dette giver en risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi anbefaler, at kommunen sikrer, at der er etableret kontrol med ændring i kreditorstamdata enten gennem funktionsadskillelse eller gennem det etablerede ledelsestilsyn. På baggrund af den foretagne revision er det vores samlede vurdering, at de generelle it-kontroller hos Egedal Kommune er på et acceptabelt niveau (vurderet ud fra følgende skala: Ikketilfredsstillende, acceptabel, tilfredsstillende og meget tilfredsstillende). Vi har i forbindelse med vores revision givet anbefalinger til styrkelse af sikkerheden. I forhold til gennemgangen i 2013 er 2 anbefalinger blevet løst, mens vi ved gennemgangen har observeret 9 PwC 3

4 nye forhold, der dels vedrører observationer i forbindelse med gennemgangen hos IT-Forsyningen I/S samt kontrolsvagheder observeret ved vores test af kommunens procedurer for administration af brugeradgang i Windows, Prisme og SD-Løn. Vores konklusion er baseret på de observationer og anbefalinger, der er anført i det vedlagte skema. Anbefalingerne i bilag 1 kan opsummeres således: It-politikker og organisation Drift af datacentre og netværk Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer IT- Forsyningen I/S Prioritet 1 0 (0) 0 (0) 0 (0) 4 (3) 0 (0) 1 (-) 5 (3) Prioritet 2 0 (1) 3 (3) 0 (1) 4 (4) 0 (0) 3 (-) 10 (9) Prioritet 3 1 (1) 0 (0) 0 (0) 3 (1) 0 (0) 1 (-) 5 (2) I alt 1 (2) 3 (3) 0 (1) 11 (8) 0 (0) 5 (-) 21 (14) I alt Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 1. Tal i () angiver antal anbefalinger i Observerede forhold, som vedrører IT-Forsyningen I/S s kontrolmiljø er i bilag 1 anført i særskilte afsnit IT-Forsyningen I/S for hvert område og er samlet opsummeret ovenfor i kolonnen IT- Forsyningen I/S. De væsentligste bemærkninger (prioritet 1) er følgende: I Prisme har vi observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. I Windows AD har vi observeret, at der er oprettet 52 bruger-id i gruppen Domain Admins. 13 af disse bruger-id er tilsyneladende eksterne brugere. I Windows AD har vi observeret, at der ikke er krav til sammensætningen af password (kompleksitet) samt at brugerkontoen ikke låses efter et antal logon-forsøg. I SD-Løn har vi fået oplyst, at funktionen til autolukning af brugerkonti ved fratrædelse ikke i alle tilfælde sikrer at medarbejderens adgang spærres ved fratrædelse, da SD har konstateret en fejl i funktionen. SD arbejder på at få fejlen rettet. Vi har endvidere ved gennemgang af procedurerne for brugeradministration observeret ét tilfælde ud af en stikprøve på 25, hvor brugerens konto ikke var spærret i SD-Løn. Under vores gennemgang af it-kontroller hos IT-Forsyningen I/S vedrørende Egedal Kommune, har vi fået oplyst, at IT-Forsyningens masterpassword dokument er placeret på et netværksdrev, hvor alle medarbejdere hos IT-Forsyningen har adgang. Dokumentet indeholder administrator passwords til servere og systemer, som IT-Forsyningen I/S drifter. Dokumentet er beskyttet med et password, som alene relevante medarbejdere har kendskab til. Prioritet 2 og 3 anbefalingerne angiver svagheder, som påvirker den interne kontrol og risikostyring, som der bør arbejdes med på længere sigt. Økonomistyring & Finans har haft lejlighed til at gennemgå dette brev og medfølgende observationsskema, og Egedal Kommunes kommentarer er indarbejdet i observationsskemaet. PwC 4

5 Såfremt der måtte være kommentarer eller spørgsmål til ovennævnte, er I velkommen til at kontakte os. Vi vil gerne benytte lejligheden til at takke for et godt samarbejde i forbindelse med vores gennemgang. Med venlig hilsen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Møller Christensen Jesper Parsberg Madsen Rainer Petersen statsautoriseret revisor statsautoriseret revisor it-revisor PwC 5

6 Prioritet skal ses i forhold til det reviderede område og er defineret således: Prioritering 1. Væsentlig mangel Beskrivelse Dette er et alvorligt problem vedrørende intern kontrol, risikostyring eller rapportering, som kan medføre a. betydelige fejloplysninger i regnskab / bogføring som følge af væsentlige fejl eller mangler og / eller b. overtrædelse af gældende love, regler og retningslinjer. Bør omgående vurderes af ledelsen og eventuelt på bestyrelsesniveau. 2. Betydelig svaghed Dette er et problem vedrørende intern kontrol, risikostyring eller rapportering, som kan føre til a. unøjagtigheder i regnskab/bogføring b. mangel på kontrol i den reviderede organisatoriske enhed eller proces; og / eller c. overtrædelse af gældende love, regler og retningslinjer. Bør behandles af ledelsen inden for rimelig tid. 3. Svaghed Dette er et problem vedrørende intern kontrol eller risikostyring, hvis løsning vil føre til: a. forbedring af kvaliteten og / eller effektiviteten af det reviderede område. PwC 0

7 Bilag 1 Anbefalinger vedrørende revision af generelle it-kontroller Nr. Prio. Observation Risiko Anbefaling er 1. Politikker, organisation m.m Ref: A Informationssikkerhedspolitikkens struktur Under gennemgang af ledelsens informationssikkerhedspolitik mv. har vi observeret, at der er udarbejdet en informationssikkerhedspolitik (politik), som omfatter de væsentligste områder vedrørende informationssikkerhed. Det er vores vurdering, at omfanget generelt er dækkende for informationssikkerheden i kommunen. Vi har overordnet gennemgået det modtagne materiale og har følgende bemærkninger: 1. Politikkens hoveddokument Itsikkerhedspolitik indeholder både målsætninger, krav og as is - beskrivelser. Nogle på et meget teknisk detaljeret niveau og andre på meget overordnet niveau. 2. De offentlige bilag beskriver en række retningslinjer, herunder også gode konkrete risikovurderinger på en række forretningsmæssige områder for kommunens applikationer. Dokumentet indeholder imidlertid ikke en risikovurdering af infrastrukturkomponenter, som må siges at spille en væsentlig rolle Manglende ajourføring af informationssikkerhedspolitikkens struktur og indhold giver risiko for, at sikkerhedspolitikken og underliggende retningslinjer ikke afspejler de krav og forventninger som ledelsen har til kommunens overholdelse heraf. Manglende risikovurdering af risici ved kommunens itanvendelse, særligt efter at itdriften outsourcet til IT- Forsyningen, kan betyde, at risici ikke er synliggjort og at der er risici ved kommunens itanvendelse, der ikke i tilstrækkeligt omfang er afdækket til et niveau, som ledelsen kan acceptere. Vi anbefaler, at det overvejes at omstrukturere politikken, således at den niveauopdeles efter detaljeringsgrad, og at der målrettes til modtager efter nedenstående principper. Vi anbefaler, at politikken opbygges således: 1. Overordnet politik Kommunens overordnede politik i forhold til sikkerhedsniveauet i forbindelse med behandling, transport og lagring af systemer og data. En beskrivelse af den ønskede sikkerhedsstyring, placering af sikkerhedsansvaret i organisationen, krav til leverandører, kunder og andre eksterne samarbejdspartnere samt lovgivning mv. 2. Retningslinjer Den overordnede politik uddybes i målrettede selvstændige retningslinjer, som kan anvendes direkte til en specifik målgruppe. Disse retningslinjer kan være offentlige som f.eks. Pixi-bogen, der er rettet mod medarbejderne i Ovenstående anbefalinger vil indgå som et ændringsønske - senest når direktionen finder tiden moden til at foretage en revision og omstrukturering af den nuværende sikkerhedspolitik, vedtaget i Forinden vil It-centeret i dialog med revisionen foretage en konkretisering af ændringsønsket i forhold til opgavens omfang og organisationens medinddragelse, herunder et estimat af medgået tid og omkostninger set i forhold til nytteværdi Der afventes i Egedal Kommune en afklaring af hvor ansvaret for sikkerhedspolitikken er funderet efter organisationsændringerne i Egedal Kommune. Indtil da udføres der opfølgning på sikkerhedspolitikkens nuværende formulering af it-afdelingen under PwC 1

8 Nr. Prio. Observation Risiko Anbefaling er i vurderingen af konsekvenser. Ligeledes mangler der en stillingtagen til risici ved uautoriseret adgang til systemer og data (f.eks. datamanipulation, datadestruktion eller lignende). 3. Det ikke-offentlige bilag synes at være en driftshåndbog vedrørende udvalgte væsentlige områder som eksempelvis backup og restore, og ikke en decideret instruks til politikken. Materialet indeholder samtidig en driftsmæssig risikovurdering, der ikke tydeligt beskriver handlingsplaner. 4. Dokumenterne mangler generelt en header med dokumentinformation/journalinformation. Status 2012: Området er uændret pga. igangværende organisationsændringer. Status 2013: Status er ifølge det oplyste uændret som følge af, at der arbejdes på et driftssamarbejde mellem flere kommuner med virkning fra 1/ Status 2014: Vi har ved gennemgangen fået oplyst, at kommunen i efteråret 2013 har ændret retningslinjer samt etableret procedurer for ledelsestilsyn i forbindelse med implementering af nyt personale og økonomisystem. Ifølge det oplyste er den overordnede itsikkerhedspolitik og informationssikkommunen, eller de kan være interne som f.eks. retningslinjer for sikkerhed i infrastrukturen på Windows AD eller baselines til serveropsætning. Ligeledes anbefaler vi, at der i de formelle kontrakter med eksterne samarbejdspartnere tilføjes et afsnit, som beskriver retningslinjer og ansvar for sikkerhed i forbindelse med f.eks. driftsopgaver. 3. Politikkens ikrafttræden, gyldighed og omfang samt godkendelse og krav til opfølgning: Politikkens dokumenter forsynes med en journal-header, (godkendelsesdato, versionsnummer, ændrings-log og ændret af, godkendt af mv.). Center for ejendomme og intern service. Den ny ansvarlige afdeling vil blive bedt om at tage fat i pkt. A1 s anbefalinger Kommentar ikke modtaget 2014 Egedal Kommune er i gang med en transaktion fra DS484 til ISO27001 og 002, hvoraf vi forventer en fuld operationel Informationssikkerhedspolitik med tilhørende regelsæt og beskrevne procedurer. Informationssikkerhedspolitikken forventes at ligge færdig 3. kvartal 2015 hvor efter den skal godkendes i Byrådet. PwC 2

9 Nr. Prio. Observation Risiko Anbefaling er kerhedspolitikkens struktur dog uændret. Status marts 2015: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur er uændret. Egedal har for et år siden udarbejdet et internt notat, hvor en række udfordringer vedrørende sikkerhedspolitik og organisering og styring af sikkerhedsarbejdet er identificeret. Arbejdet med at styrke dette er ifølge det oplyste prioriteret med ansættelsen af en ny digitaliseringschef primo Vi anser fortsat punktet for åbent Ref: A Revisionserklæringer fra outsourcingleverandører Egedal benytter outsourcingleverandører på forskellige områder i driften af kommunens it-anvendelse. Dette omfatter særligt KMD vedr. diverse applikationer herunder økonomisystemet (der pr. 1/ er overgået til Prisme). Endvidere benyttes KMD som leverandør af remote-backup, Eltel Networks vedrørende drift af netværksservice, hardwaresupport og beredskab samt ATEK vedrørende drift af køling og nødstrøm til kommunens datacenter. De outsourcede områder er væsentlige for regnskabsaflæggelsesprocessen. Svigt hos leverandøren kan medføre væsentlige fejl eller mangler i årsregnskabet. Endvidere er en revisionserklæring med til at identificere om det i kontrakten aftalte sikkerhedsniveau og generelle it-kontroller overholdes. Vi anbefaler, at der indhentes en årlig revisionserklæring fra leverandøren i henhold til revisionsstandard ISAE3402 Erklæringsopgaver med sikkerhed om kontroller hos en serviceleverandør, type 2, og der etableres procedurer for gennemgang og opfølgning af identificerede kontrolsvagheder Kommentar ikke modtaget PwC 3

10 Nr. Prio. Observation Risiko Anbefaling er Under gennemgangen har vi fået oplyst, at kommunen ikke har indhentet revisionserklæringer fra outsourcingleverandører. Status 2014: Status er ifølge det oplyste uændret. Vi har endvidere fået oplyst, at procedurer for indhentelse og vurdering af revisionserklæringer fra outsoursingleverandører vil blive varetaget af det fælles driftsselskab fra 2014 og at kommunen vil modtage revisionserklæring fra driftsselskabets revisor. Status marts 2015: Under gennemgangen har vi fået oplyst, at kommunen har indhentet itrevisionserklæringer vedrørende KMD, Fujitsu Prisme og SD-løn. Vi har gennemgået de indhentede revisionserklæringer, de ikke har givet anledning til væsentlige bemærkninger. Punktet lukkes SD-Løn Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn konstateret, at der etableret procedurer for administration af adgang til informationssystemer og tjenester Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data øger risikoen for, at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommunes anvendelse af Silkeborg Løn. Vi anbefaler, at der rettes henvendelse til Silkeborg Data med henblik på, at få rettet op på de konstaterede svagheder i de etablerede procedurer. Vi er enige i observationen. Personaleafdelingen vil anmode Silkeborg Data om at stramme op på svaghederne i de etablerede procedurer i henhold til revisionspunktet ved næstkommende møde. Personaleafdelingen vil i denne forbindelse efterspørge en løsning og tidshorisont PwC 4

11 Nr. Prio. Observation Risiko Anbefaling er hos JN Data. Silkeborg Data har valgt at outsource driften af it-platform til Jyske Bank, der benytter JN Data som underleverandør. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester bl.a. omfattende: Registrering af bruger hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse og tildeling af administrative rettigheder. Udvidede adgangsrettigheder hos JN Data: For flere af de reviderede operativsystemer og database er det konstateret, at der er tildelt privilegerede adgangsrettigheder, der ikke vurderes at være begrundet i et arbejdsbetinget behov. Periodisk gennemgang af brugerenes rettigheder hos JN Data: På nogle områder er det konstateret behov for styrkelse af processen for regelmæssig gennemgang af brugernes adgangsrettigheder. Styring af adgangskoder JN Data: For nogle operativsystemer og databaser mv. er der konstateret afvigelser vedrørende krav til for procedurerne. PwC 5

12 Nr. Prio. Observation Risiko Anbefaling er kompleksitet og passwordlængde. 2. Drift af datacentre og netværk Ref: C Manglende beredskabsplan Under gennemgang af beredskab og nødplaner har vi observeret, at der ikke eksisterer en formaliseret og testet beredskabsplan. Der er beskrevet en forretningsmæssig stillingtagen til risici, og der er etableret serviceaftaler, men en operationel beredskabsplan er ikke udarbejdet. Status 2012: Området er under udarbejdelse. Der er dog endnu ikke udarbejdet en egentlig it-beredskabsplan og nødplaner. Status 2013: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status 2014: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes fortsat prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status marts 2015: Status er ifølge det oplyste uændret. Vi har fået oplyst, at kommunen vil prio- Manglende beredskabsplan og test heraf skaber risiko for, at it-anvendelsen ikke kan genetableres inden for rimelig tid i forbindelse med omfattende skader på it-systemerne. Dette kan få væsentlig betydning for kommunens adgang til systemer og data. Vi anbefaler, at der ud fra en risikoanalyse etableres og på realistisk vis afprøves en beredskabsplan for itanvendelsen, således at tilgængeligheden til it-systemerne tilgodeses mest muligt. Planen bør opbevares på et sikkerhedsmæssigt forsvarligt sted og være tilgængelig for alle nøglepersoner i krisesituationer. Planen bør indeholde: 1. En organisatorisk nødplan, der beskriver, hvilke roller (handlinger) der skal udføres i en katastrofesituation, samt navngiver de personer, der har ansvaret for de enkelte roller (interne og eksterne). 2. En disaster recovery-plan, der beskriver, hvorledes kommunen vil udføre den tekniske reetablering af it-anvendelsen. Disaster recovery-planen bør indeholde en prioriteret liste over, hvilke systemer der vurderes mest kritiske for kommunen (er udarbejdet), samt en beskrivelse af hvorledes de enkelte aktiver er indbyrdes afhængige (f.eks. interfaces, infrastruktur mv.). Anbefalingerne tages til efterretning. Arbejdet omkring beredskabsplaner vil blive drøftet med og tilpasset Beredskabscentrets øvrige nødplaner, så Itforsyningen har sammenhæng med øvrig forsyningsvirksomhed, hvor kommunen har udarbejdet nødplaner for. It-centeret vil optage emnet som prioriteret indsatsområde i års- og udviklingsplanen for Arbejdet forventes prioriteret og igangsat i løbet af 2012/ Kommentar ikke modtaget 2014 Egedal Kommune har en kommunikationsplan for IT- PwC 6

13 Nr. Prio. Observation Risiko Anbefaling er Ref: C ritere arbejdet med deres procedurer i forhold til beredskabet i løbet af Under vores gennemgang af itkontroller hos IT-Forsyningen I/S vedrørende Egedal Kommune, har vi observeret, at der udarbejdet en beredskabsplan, dateret 29. december Planen har således ikke været effektiv for Vi anser fortsat punktet for åbent. 2 Generelt: Logning og opfølgning på hændelser Under gennemgang af logning har vi observeret, at logningsniveauet på Windows AD er tilstrækkeligt. Vi har imidlertid fået oplyst, at der ikke foretages regelmæssig vurdering af log-data. Status 2012: Status på området, er ved at blive undersøgt af kommunen. Status 2013: Status er ifølge det oplyste uændret. Det forventes at en løsning i det fælles selskab vil blive implementeret i Status 2014: Status er ifølge det oplyste uændret. Det forventes stadigvæk, at en løsning i det fælles selskab vil blive implementeret i Status marts 2015: Under gennemgangen har vi fået op- Utilstrækkelig logning af hændelser på Windows AD medfører risiko for, at hændelser og uautoriserede handlinger på systemerne ikke opdages rettidigt. 3. En forretningsmæssig nødplan, der beskriver, hvorledes og i hvilket omfang det er muligt at videreføre de daglige forretningsgange i den periode, hvor kommunens it ikke er tilgængelig. Vi anbefaler, at log-data gennemgås regelmæssigt, f.eks. ved anvendelse af konsolideret logning og analyseværktøjer, som kan sende alarmer vedrørende foruddefinerede hændelser, der bør undersøges nærmere. Ligeledes anbefaler vi, at der etableres en central log-server, hvor de respektive logs kan opbevares, således at adgang kun er mulig for udvalgte personer. Anbefaling marts 2015: Endvidere anbefaler vi, at der fastsættes krav til logning, således at Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff sættes til at logge både Success og Failure. Beredskabet. Informationssikkerhedspolitikken ud fra ISO27001, vil indeholde en fuldt udbygget og gennemtestet beredskabsplan, herunder tidsplaner for gentest ud fra forskellige senarier. Anbefalingen følges. Itcenteret vil, inden en løsning idriftsættes, foretage en vurdering af metode og værktøj, således at dataindsamling, hændelsesgennemgang og rapportering kan ske med størst mulig automatik og effektivitet og med mindst mulig ressourceindsats. Løsningen forventes implementeret inden udgangen af Arbejdet blev ikke gennemført i 2011 og vil derfor blive opprioriteret i Kommentar ikke modtaget PwC 7

14 Nr. Prio. Observation Risiko Anbefaling er lyst, at IT-Forsyningen har opgaven med at overvåge driften herunder gennemgå logning. Det er oplyst, at der p.t. ikke er fastlagt en SLA herfor. Under gennemgang af procedurerne hos IT-Forsyningen har vi fået oplyst, at der løbende sker overvågning af driften og opfølgning på driftshændelser. Ved vores gennemgang af logningsniveauet på Windows AD har vi dog observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder lognings indstillingerne: Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff, hvor der enten ikke logges eller alene logges ved succes. Vi anser fortsat punktet for åbent Egedal Kommune og IT- Forsyningen er pt. i gang med at udvikle en generel SLA. Egedal Kommune er under afklaring af, om vi skal stilles krav til IT- Forsyningen om, at de skal etablere en fælleslog-server samt opstille procedure for gennemgang af logs i forbindelse med opståede hændelser. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Ref: C Vitae: Logning af sikkerhedsmæssige hændelser Under gennemgang af logning har vi observeret, at succesfulde login-forsøg ikke logges på SQL-serveren EGE0- omsorg02. Status 2012: Status på området, er ved at blive undersøgt af kommunen. Status 2013: Vi har fået oplyst, at SQL-serveren EGE0-omsorg02 er ændret til Manglende logning af succesfulde login-forsøg medfører risiko for, at handlinger ikke kan tilbagespores til den person, som har foretaget dem. Vi anbefaler, at log aktiveres for både Success og Failed logins, idet det således kan spores, hvem der reelt har været logget direkte på databasen og hvornår. Anbefalingen imødekommes - se i øvrigt kommentarer under C Ege0-omsorg02 bliver opgraderet i Punktet vil herefter blive prioriteret når denne opgradering er fundet sted. 2013: PwC 8

15 Nr. Prio. Observation Risiko Anbefaling er SQLege0-Omsorg01. Under gennemgang af opsætning af logning på serveren har vi observeret, at succesfulde login-forsøg logges, mens at fejlslagne login-forsøg og logning af anvendelse af adgangsrettigheder ikke logges. Status 2014: Status er ifølge det oplyste uændret. Status marts 2015: Status er ifølge det oplyste uændret. Vi har ved gennemgangen endvidere fået oplyst, at kommunen er i gang med et udviklingsprojekt for implementering af nyt system i løbet af Vi anser fortsat punktet for åbent. Vi anbefaler, at log aktiveres for både success og failed logins og dette omfatter Audit account logon events og Audit logon events. Endvidere anbefaler vi, at fejlslagne forsøg på anvendelse af adgangsrettigheder (Audit priviledge use) logges Kommentar ikke modtaget 2014 Egedal Kommune og IT- Forsyningen er pt. i gang med at udvikle en generel SLA. Egedal Kommune er under afklaring af, om vi skal stilles krav til IT- Forsyningen om, at de skal etablere en fælleslog-server samt opstille procedure for gennemgang af logs i forbindelse med opståede hændelser. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling. PwC 9

16 Nr. Prio. Observation Risiko Anbefaling er 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware Ref: B Styring af ændringer Under gennemgang af procedurer for ændringsstyring har vi observeret, at der er beskrevet retningslinjer for ændringer i den gældende sikkerhedspolitik. Der er imidlertid endnu ikke beskrevet en procedure herfor. Vi har overordnet gennemgået registreringen af ændringer, der foretages til infrastruktur, og drøftet, hvorledes man forholder sig til ændringer, som foretages på KMD-platformen. Det er vores opfattelse, at der er sket enkelte ændringer til KMDsystemerne, som har været fejlbehæftede. Test og vedligehold for netop dette område foretages af KMD og af KMD udvalgte test-kommuner. Der foretages kun registrering af ændringer til infrastruktur, men der eksisterer ingen ikke en formel procedure herfor. Kommunen har taget et nyt system i brug, der er bedre til at håndtere og klassificere ændringerne til driftsmiljøet. Status 2012: Det er oplyst, at en change procedure er udarbejdet og anvendes samt at der sker godkendelse af ændringer inden idriftssættelse. Vi lukker anbefalingen, Der er risiko for, at ændringer ikke testes tilstrækkeligt og godkendes inden de implementeres. Vi anbefaler, at kommunen etablerer procedurer for ændringsstyring efter følgende principper: 1. Der bør udarbejdes en formel request for change (RFC), hvor datoer, information om ændringen, klassificering og risikovurdering, fall back-planer, krav til test og interessenter angives. 2. Alle ændringer bør som hovedregel godkendes inden idriftsættelse. Standard (forhåndsgodkendte)-ændringer kan anvendes, således at visse ændringstyper er risikovurderet og godkendt på forhånd og kan udføres og registreres til dagligt uden godkendelse. Anbefalingerne tages til efterretning og vil blive imødekommet, i det omfang det giver praktisk mening for ændringshåndtering i itmiljøet. For at finde det muliges kunst uden at skulle allokere særskilte ressourcer til den daglige varetagelse af opgaven vil revisionen blive inddraget i afklaringsarbejdet omkring niveau, metodeapparat og implementering. Arbejdet igangsættes i efteråret En change procedure er svagt formuleret med bl.a. Change Advisory Board etc. Den er ikke endeligt vedtaget i Egedal Kommunes itporteføljegruppe som har haft første møde ultimo Det forventes at der vedtages og endeligt færdigformuleres en changeprocedure i løbet af Kommentar ikke modtaget PwC 10

17 Nr. Prio. Observation Risiko Anbefaling er 4. Adgangssikkerhed Ref: D når vi har modtaget dokumentation på området. Status 2013: Status er ifølge det oplyste uændret som følge af, at der arbejdes på et driftssamarbejde mellem flere kommuner med virkning fra 1/ Status 2014: Status er ifølge det oplyste uændret. Udarbejdelse af procedure til styring af ændringer er prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status marts 2015 Ændringer vedrørende systemsoftware håndteres af IT-Forsyningen I/S. Under vores gennemgang af itkontroller hos IT-Forsyningen I/S vedrørende Egedal Kommune, har vi observeret, at der er etableret procedurer for styring af ændringer i Systemsoftware. Punktet lukkes 2 Generelt: Opfølgning på brugeradministration Under gennemgang af brugeradministration generelt og opfølgning herpå har vi observeret, at der er udarbejdet procedurer for brugeradministration, og at denne skal sikre godkendelser af brugeroprettelser på de væsentligste applikationer i kommunen. Mangelfuld overholdelse af kommunens procedure for nedlæggelse af brugeradgang til kommunens systemer og data medfører risiko for at brugeradgangen ikke spærres / slettes rettigdigt i forbindelse med medarbejderens fratrædelse, hvilket medfører øget Vi anbefaler, at etableringen af denne kontrol prioriteres, således at systemejerne kan få et reelt grundlag at foretage oprydning og godkendelse på, på regelmæssig basis. Marts 2015 Vi anbefaler endvidere, at kommunen indskærper over for de ansvarlige ledere, at informere de relevante 2014 RFC for 3. parts systemer, hvor IT-Forsyningen ikke er involveret skal implementeres og aftales med IT- Forsyningen. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling. Anbefalingen følges. Arbejdet med en ensartet tilgang til brugeradministration og kontrolprocedurer vil blive igangsat i efteråret 2011 i forbindelse med opstart af Itsikkerhedskoordinatorgrup- PwC 11

18 Nr. Prio. Observation Risiko Anbefaling er Der er derimod endnu ikke implementeret en kontrol, som skal følge op på, om procedurerne reelt efterleves. Vi har i forbindelse med vores gennemgang af området fået oplyst, at implementeringen af kontrollen lader vente lidt på sig af hensyn til ressourceprioriteringer. Status 2012: Området er uændret. Status 2013: Status er ifølge det oplyste uændret. Revideret procedure vil blive implementeret i forbindelse med nyt økonomisystem & lønsystem i foråret Status 2014: Det er oplyst, at procedurer for brugeradministration og tildeling af systemadgange er ajourført i forbindelse med implementering af nyt personale og økonomisystem, Prisme. Endvidere er der i efteråret 2013 implementeret procedurer for ledelsestilsyn. Vi har gennemgået procedurer for ledelsestilsyn pr. oktober 2013 og observeret, at tilsynet ikke vedrører brugeradgang til systemer, men omfatter andre forhold omkring personale og økonomi. Det er oplyst, at procedure for kontrol af Prismebrugere og deres tildelte rettigheder er under udarbejdelse. Status marts 2015: I forbindelse med test af kommunens risiko for uautoriseret adgang til væsentlige systemer og data. systemejere om medarbejdernes fratrædelse eller alternativt etablerer en fælles indgang til indberetning heraf. pens arbejde Punktet er fortsat åbent da der ultimo indføres nyt personale og økonomisystem. Ved denne implementering sker der en decentralisering som har indflydelse på den interne revision. Der vil i 2013 blive udarbejdet en ny intern revisionsprocedure Kommentar ikke modtaget 2014 Vi er enige i observationen. Vi vil fra økonomiafdelingen indskærpe proceduren om brugeradministration over for de ansvarlige ledere i Egedal kommune. Egedal Kommune er i samarbejde med Ballerup og Furesø Kommuner ved at etablere en føderationsløsning til sikring af den aktuelle problematik. Se endvidere pkt PwC 12

19 Nr. Prio. Observation Risiko Anbefaling er procedurer for brugeradministration for brugeradgang til Windows, Prisme og SD-løn, har vi observeret, at procedurerne for spærring / nedlæggelse af brugerkonti ved fratrædelse, ikke følges konsekvent. Der er således fortsat ikke etableret en effektiv kontrol, der sikrer at procedurerne efterleves. Ved gennemgangen har vi observeret 12 tilfælde ud 25 fratrådte medarbejdere, hvor der ikke foreligger dokumentation fra lederen om, at vedkommende fratræder og adgang til systemer og data skal spærres. Særligt for adgang til Windows netværket har vi observeret, at brugerkontiene fortsat er aktive, da der ikke forligger en nedlæggelsessag hos IT- Forsyningen I/S herom. Vedrørende Prisme har vi observeret, at medarbejderne i Center for Økonomi og Finans generelt er opmærksomme på fratrådte medarbejdere og at adgang til Prisme i de fleste tilfælde er spærret, undtagen i to tilfælde, hvor adgangen fortsat er aktiv. Vi anser fortsat punktet for åbent Ref: D Prisme: Adgang til stamdata vedrørende kreditorer Under gennemgang af udvalgte brugerroller i Prisme har vi observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regn- Kommunens indførte ledelsestilsyn retter sig ikke specifikt mod kontrol med stamdata, hvorved der er risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker mis- Vi anbefaler, at kommunen styrker kontrollen med ændring af stamdata, særligt vedrørende kreditorer enten gennem etablering af systemmæssig funktionsadskillelse i Prisme således at medarbejdere, der er bemyndiget til at oprette / ændre stamdata ikke Kommentar ikke modtaget 2014 Vi er enige i observationen. Økonomiafdelingen vil fore- PwC 13

20 Nr. Prio. Observation Risiko Anbefaling er skab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Efter det oplyste har kommunen ikke etableret kontrol med ændring af stamdata. Status marts 2015: Status er ifølge det oplyste uændret. Vi anser fortsat punktet for åbent. brug af kommunens midler. samtidigt kan foretage registreringer eller at ændringer i udvalgte kreditorstamdata systemmæssigt registreres i en log, der gennemgås periodisk af betroet personale eventuelt gennem det etablerede ledelsestilsyn. tage en gennemgang af brugerrollerne Betroet og Regnskab for en tilpasning af rollerne på kreditor siden. Herudover vil økonomiafdelingen etablere en kontrol af dem der har adgang til brugerrollerne Betroet og Regnskab der sikre at der ikke foretages utilsigtet eller tilsigtet ændringer eller registreringer i kreditorerne Ref: D Windows AD: Manglende skift af password Under gennemgang af Windows AD har vi observeret, at 118 bruger-id (hvor password er sat til, at det kan skiftes) ikke har påtvunget passwordskift i henhold til den implementerede passwordpolitik. Af vores udtræk fremgår det, at der eksisterer en del personlige bruger-id, som omgår sikkerhedspolitikken, herunder en række, der tilhører medarbejdere i it-centeret. Status 2012: Vi har fået oplyst, at Windows brugerne gennemgås regelmæssigt og at personspecifikke brugere skifter password regelmæssigt. Vi har modtaget udskrift, som viser at de brugere som ikke skifter password er systembrugere og inaktive testbrugere. Der er risiko for, at password bliver kendt af uvedkommende i forbindelse med systemkompromittering, afluring, bevidst eller ubevidst videregivelse eller lignende. Vi anbefaler, at alle password skiftes regelmæssigt i henhold til kravene i sikkerhedspolitikken, herunder især for medarbejdere der har udvidede rettigheder eller adgang til kritisk eller fortrolige informationer. Der bør regelmæssigt foretages en opfølgning på, om retningslinjer efterleves. De programmerede passwordkontroller bør kun omgås efter dispensation, f.eks. systembruger-id eller lignende - og her er det i princippet ikke nødvendigt at kende password. Anbefalingerne følges. Alle brugere er i systemerne sat til at skulle ændre password inden for en kortere tidsbestemt periode. Efter revisionens gennemgang og påvisning af problemet med omgåelse hos et fåtal medarbejdere, der har udvidede rettigheder eller adgang til kritisk eller fortrolige informationer, vil Itcenterets ledelse periodisk gennemgå disse konti med henblik på at imødekomme den type af sikkerhedsbrud. It-ledelsen har endvidere som følge af revisionens findings givet instruks til samtlige medarbejdere i Itcenteret om at følge de spil- PwC 14

21 Nr. Prio. Observation Risiko Anbefaling er Vi anser punktet for lukket. Status 2013: Under gennemgang af Windows AD har vi observeret 5 aktive bruger-id, hvor password ikke er skiftet i henhold til kommunens politik. Det omfatter alle eksterne konsulent konti. Det er oplyst, at forholdet straks rettes. Status 2014: Status er ifølge det oplyste, at forholdet er blevet rettet ad to omgange. Status marts 2015: Under vores gennemgang af Windows AD har vi observeret 2 administratorkonti samt 7 almindelige brugerkonti, der ikke følger den gældende passwordpolitik om periodisk skift af password. Vi anser fortsat punktet for åbent. leregler, der er nedskrevet i it-sikkerhedspolitikken Kommentar ikke modtaget 2014 IT-Forsyningen vil straks sikre, at alle brugerkonti lever op til den gældende itsikkerhedspolitik. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Ref: D Vitae: SQL-server: Manglende opdatering Under gennemgang af basisopsætningen af serveren "SQLege0-Omsorg01" har vi observeret at serveren ikke er opdateret til seneste servicepack fra Microsoft. Vi har fået oplyst, at opdatering af serveren forventes at blive gennemført inden august Status 2014: Status er ifølge det oplyste, at opdateringen af serveren er blevet gennem- Anvendelse af databaser, som ikke er opdateret til seneste version giver risiko for at sikkerhedsbrister i ældre versioner kan blive udnyttet til at opnå uautoriseret adgang til data. Vi anbefaler, at SQL-serveren opdateres til seneste servicespack Kommentar ikke modtaget 2014 Egedal Kommune er i gang med at implementere et nyt system, hvorfor dette punkt ikke synes aktuelt. Generelt kan man sige, at det ikke altid det mest hensigtsmæssigt at opdatere til nyeste servicepacks, uden at have PwC 15

22 Nr. Prio. Observation Risiko Anbefaling er ført. Status marts 2015: Status er ifølge det oplyste uændret. Vi har endvidere ved gennemgangen fået oplyst, at kommunen er i gang med et udviklingsprojekt for implementering af nyt system i løbet af Vi anser fortsat punktet for åbent. foretaget funktionstests inden da. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Ref: D Vitae: SQL-server: Systembrugerkonti Under gennemgang af basisopsætningen og brugerkonti af serveren "SQLege0-Omsorg01" har vi observeret, at 3 aktive brugerkonti, som har systemadministratoradgang ud over windows administratorerne. Standardkontoen "SA", SQL-brugerkontoen "SQLDBADMIN", og Windows brugerkontoen "tek". Vi har endvidere observeret, at "tek" brugeren ikke har været anvendt i længere tid. Vi har fået oplyst, at databaseserveren fjernadministreres af CSC og andvendelsen af disse brugerkonti ikke er kendt af Egedal kommune. Status 2014: Status er ifølge det oplyste, at SAbrugerkontoen stadigvæk anvendes. Status marts 2015: Status er ifølge det oplyste uændret. Vi har endvidere ved gennemgangen fået Anvendelse af SQLbrugerkonti med systemadministratorrettigheder, herunder "SA"-brugerkontoen øger risikoen for, at uvedkommende kan opnå uautoriseret adgang til data som følge af, at brugerkontiene authentificeres af databasen og ikke af Windows AD. Endvidere er der risiko for, at anvendelse af brugerkontiene ikke kan spores til de brugere, som har adgang til databaseserveren. Vi anbefaler, at standard systemadministratorkontoen i SQL "SA" deaktiveres samt at "SQLDBADM" kontoen erstattes af en windowsbrugerkonto. Endvidere anbefaler vi, at Egedal undersøger behovet for kontoen "tek"'s fortsatte adgang er nødvendig og at brugerkontoen om nødvendig deaktiveres eller slettes Kommentar ikke modtaget 2014 IT-Forsyningen gennemgår deres rettighedsstruktur med henblik på, om det giver forretningsmæssig logik at leve op til revisionens anbefalinger. Egedal Kommune undersøger brugerkontoen tek og beder IT-Forsyningen om at deaktivere den, hvis og såfremt den ikke længere har et validt anvendelsesformål. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling. PwC 16

23 Nr. Prio. Observation Risiko Anbefaling er Ref: D oplyst, at kommunen er i gang med et udviklingsprojekt for implementering af nyt system i løbet af Vi anser fortsat punktet for åbent. 3 Windows AD: Passwords i klartekst Under gennemgang af Windows AD har vi observeret minimum 78 brugerid, hvor password er skrevet i klartekst i kommentarfeltet i Windows AD. Flere bruger-id har administratorrelaterede rettigheder til en eller flere af kommunens servere eller systemer, herunder Acadre, Vitae, Sikkerpost mv. Enkelte er observeret som medlem af gruppen Domain Admins. Domain Admins har ubegrænsede rettigheder til Windows-infrastrukturen. Status 2012: Vi har fået oplyst, at ingen brugere har deres password skrevet i klartekst i kommentarfeltet i Windows AD. Vi betragter området som lukket, når vi har modtaget dokumentation for påstanden. Status 2013: Under gennemgang af Windows AD har vi observeret at password ikke er anført i klartekst i kommentarfeltet i Windows AD med undtagelse af to brugerkonti. Det er oplyst, at forholdet straks rettes. Risiko (uautoriseret adgang) herved opstår primært, fordi passwordet står i klar tekst og ikke er beskyttet af kryptering eller lignende. Og da alle i Windows-miljøet kan trække oplysninger om brugeres parametre i infrastrukturen, opstår der risiko for, at der kan opnås uautoriseret adgang til data på alle computere, alle systemer eller data i domænet, hvor der autentificeres med Windows. Vi anbefaler, at kommunen hurtigst muligt fjerner alle password i klartekst. Ligeledes anbefaler vi, at der foretages en gennemgang af passwordsikkerheden generelt i kommunens infrastruktur, og at password skiftes for alle bruger-id, der har været eksponeret. Rækkefølgen bør være prioriteret, så bruger-id med flest privilegier og/eller kritisk adgang skiftes først. Vi anbefaler endvidere, at der gennemføres træning i sikkerhed på infrastrukturområdet, samt at der udarbejdes baselines (basisopsætning og tjeklister) vedrørende sikkerhed på servere mv., dels til brug for it-afdelingen, dels til leverandører. Marts 2015: Vi anbefaler at password til den pågældende konto fjernes fra kommentarfeltet eller at kontoen alternativt lukkes, jf. observation Anbefalingen følges, se i øvrigt kommentarer under pkt.d It-centerets ledelse vil drøfte med revisionen, hvorledes anbefalingen omkring træning og baselines iværksættes med størst mulig effekt Ingen kommentarer modtaget 2013 Kommentar ikke modtaget 2014 Egedal Kommune har anmodet IT-Forsyningen om at sikre at der ikke er passwords i klar tekst, alternativt at nedlægge brugerkontoen. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal for- PwC 17

24 Nr. Prio. Observation Risiko Anbefaling er Status 2014: Ifølge det oplyste er der ikke anført password skrevet i klartekst i kommentarfeltet i Windows AD. Punktet lukkes, når vi har modtaget dokumentation på at forholdet er rettet. Status marts 2015: Under gennemgang af Windows AD har vi observeret et enkelt brugerkonto, hvor password er skrevet i klartekst i kommentarfeltet. Dette omfatter brugerkontoen udd30, der dog ikke ser ud til at have været benyttet siden Vi anser fortsat punktet for åbent. holde sig til den aktuelle problemstilling Ref: D Windows AD: Antal administratorbrugere Under gennemgang af Windows AD har vi observeret, at der er oprettet 38 bruger-id i gruppen Domain Admins. 11 af disse bruger-id er tilsyneladende eksterne brugere (fire har password i kommentarfeltet se D.4.1.). Der findes et større antal andre administrator-lignende brugergrupper. Status 2012: Det er oplyst, at der er foretaget oprydning af brugerne i Domain Admin gruppen. Der findes nu kun brugere i denne gruppe, hvis de har et arbejds- Der er risiko for, at der kan opnås uautoriseret adgang til systemer og data uden begrænsning i rettigheder. Endvidere er der en risiko for, at den tildelte administratoradgang ikke er i overensstemmelse med brugernes arbejdsbetingede behov. Vi anbefaler, at der hurtigst muligt foretages en oprydning i adgangstildelingen på Windows AD. Vi anbefaler, at rettigheder tildeles efter et princip om arbejdsbetinget behov/ lavest nødvendige rettighedsniveau. Marts 2015: Vi anbefaler endvidere, at kommunen sammen med IT-Forsyningen I/S fastlægger rammerne for tildelingen og administrationen af administrativ adgang til kommunens netværk, servere og systemer. Anbefalingen følges. Der vil hurtigst muligt blive iværksat en oprydning på området, efter de retningslinjer revisionen beskriver Ingen kommentarer modtaget 2013 Kommentar ikke modtaget 2014 PwC 18

25 Nr. Prio. Observation Risiko Anbefaling er betinget behov. Vi lukker anbefalingen når vi har modtaget dokumentation for området. Status 2013: Under gennemgang af Windows AD har vi observeret, at der er oprettet 48 bruger-id i gruppen Domain Admins, hvoraf 18 tilsyneladende er eksterne brugere. Heraf har flere ikke skiftet password i længere tid. Status 2014: Status er ifølge det oplyste uændret. Vi har fået oplyst, at man i forbindelse med overgang til det fælles driftsselskab pr. 1/ har omstruktureret administratorernes adgang, herunder reduceret antallet af administratorer. Status 2015: Vi har, under vores gennemgang af Windows observeret, at der eksisterer 52 brugerkonti med domæne administrator rettigheder, hvoraf 29 er medarbejdere hos IT-Forsyningen I/S og 13 tilsyneladende er eksterne brugere. Vi anser fortsat punktet for åbent. Egedal Kommune har anmodet IT-Forsyningen om, at gennemgå listen over alle administratorbrugere og deaktivere dem som er overflødige. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Ref: D Windows AD: Systemmæssige passwordkrav Under gennemgang af Windows AD har vi observeret, at der ikke er krav til sammensætningen af password (kompleksitet) samt at brugerkontoen ikke Opretholdelse af den organisatoriske funktionsadskillelse bygger på kvaliteten af brugernes password. Manglende krav til passwords kompleksitet samt at brugerkontoen ikke spærres efter et antal fejlagtige Vi anbefaler, at der etableres systemmæssige krav om at passwords til anvendte systemer har en kompleks sammensætning (blandet tekst og tal, store/små bogstaver) Vi anbefaler endvidere: at en brugerkonto spærres efter Kommentar ikke modtaget 2014 Informationssikkerhedspoli- PwC 19