Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle it-kontroller Maj 010 Medlem af Deloitte Touche Tohmatsu
Deloitte Indholdsfortegnelse Side Indledning 1 Formål 1 Konklusion 1 Afsluttende bemærkninger Vurderingskriterier 3 Revisionens indhold og omfang 3 Kontrolmålsoversigt og detailvurderinger 4 Bilag 1: Detailbemærkninger vedr. ekstern sårbarhedsscanning 14
Deloitte Statsautoriseret Revisionsaktieselskab CVR-nr. 4 1 37 14 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk 7.08.010 Greve Kommune Att.: It-chef Michael Kalmberg Rådhusholmen 10 670 Greve Revision af generelle it-kontroller Indledning Deloitte har som et led i revisionen af årsrapporten revideret de generelle it-kontroller hos Greve Kommune i maj måned 010. Nærværende rapport indeholder vores observationer, vurderinger og anbefalinger. Formål Generelle it-kontroller er de kontroller, som er etableret i og omkring kommunens væsentlige itplatforme med henblik på at opnå en velkontrolleret og sikker it-anvendelse, og dermed også understøtte kontroller i it-baserede forretningsprocesser. Formålet med revisionen har været at vurdere, om de generelle it-kontroller dels er udformet på en hensigtsmæssig måde, og dels opretholdes og dokumenteres som tilsigtet i den periode, som revisionen omfatter. Konklusion På baggrund af vores revision er det vores vurdering, at de generelle it-kontroller i det væsentligste har været hensigtsmæssigt udformet og opretholdt i perioden januar 010 maj 010. Vi har dog følgende væsentlige anbefalinger: Udbedring af for bred adgang til systemer og data hos KMD medarbejdere.
Deloitte Der bør udarbejdes formelle krav af KMD til logning af sikkerhedsmæssige hændelser, og der skal efterfølgende etableres kontroller, der sikrer, at krav til sikkerhedsmæssig logning på relevante platforme og systemer implementeres og overholdes, samt at der gennemføres en dokumenteret periodisk gennemgang af relevante logs fra disse platforme og systemer. Observationer relateret til KMD er baseret på vores gennemgang af den af BDO udarbejdede erklæring for KMD for året 009. Det er i erklæringen oplyst, at KMD er i færd med at omlægge hele adgangsstyringen og at det forventes, at man i løbet af 010 vil være nået langt med dette projekt. Så snart der foreligger en erklæring for 010, vil vi følge op herpå. Ligeledes varetages backup af dmsave, og vi har gennemgået erklæring fra uafhængig revisor, dækkende året 009. Konklusionen er, at de generelle it-kontroller i perioden 1. januar 31. december 009 hos dmsave har været udformet og opretholdt hensigtsmæssigt på de områder, som er fælles for alle kunder. Der er dog identificeret en enkelt væsentlig svaghed på de ydelser, som leveres fra Atea Outsourcing Services, som er, at procedurerne for logning og overvågning af logs på infrastrukturen bør forbedres. Idet væsentlige kontroller vedrørende kommunens økonomisystem (Prisme) varetages af Fujitsu, har vi gennemgået erklæring fra uafhængig revisor. Denne foreligger endnu ikke for 009, men konklusionen dækkende perioden 4. september 008 til 5. november 009 er, at de generelle itkontroller hos Fujitsu har været opretholdt i overensstemmelse hermed, samt at Persondatalovens krav til databeskyttelse er overholdt. Afsluttende bemærkninger Vi har efterfølgende beskrevet anvendte vurderingskriterier og revisionens omfang, samt anført vurderinger af kontrolmål og de detaljerede observationer og anbefalinger, som revisionen har givet anledning til. Skulle der være væsentlige forhold, som efter Deres opfattelse ikke er tilstrækkeligt behandlet, eller har De i øvrigt spørgsmål eller kommentarer, står vi naturligvis til disposition. Deloitte Statsautoriseret Revisionsaktieselskab Peter Meisner Sørensen statsautoriseret revisor Mikkel Jon Larssen partner, CISA
Deloitte 3 Vurderingskriterier Vores vurdering af de generelle it-kontroller tager udgangspunkt i omfanget, kompleksitet og afhængighed af it-baserede forretningsprocesser. Revisionens indhold og omfang Vi anvender følgende opdeling af de generelle it-kontroller i kontrolområder: A. It-strategi og -planlægning B. It-drift C. It-outsourcing D. It-sikkerhed E. Nødberedskab F. Implementering og vedligeholdelse af brugersystemer G. Implementering og support af databaser H. Support af it-infrastruktur Vores revision planlægges dog således, at de kontrolområder, som ikke vurderes relevante i relation til revisionen af kommunens it-anvendelse, ikke bliver revideret. Område A er i den forbindelse ikke vurderet relevant for vores revision. Område F og G varetages af Fujitsu (Prisme), samt af KMD. Forhold varetaget af KMD samt Fujitsu afdækkes ved modtagelse af revisionserklæring fra ekstern revisor. Endvidere varetages backup af dmsave og afdækkes ved modtagelse af revisionserklæring fra ekstern revisor. Revisionen er fokuseret på den del af de generelle it-kontroller, som er væsentlige i forhold til de brugersystemer og tilhørende tekniske platforme, som vi vurderer som væsentlige og risikofyldte i revisionsmæssig henseende. Revisionen er udført ved interview af personale hos kommunen, samt ved observation, gennemgang af materiale, samt stikprøvevis gennemgang af tekniske sikkerhedsopsætninger på de udvalgte platforme, og er derfor ikke at betragte som en gennemgang og vurdering af alle it-sikkerhedsforhold, der kan være relevante for kommunen. De stikprøver, som vi har udvalgt til at teste kontrollernes operationelle effektivitet, dækker perioden januar 010 til maj 010. Der vil ultimo 010 blive foretaget revision af restperioden frem til 31.1.010.
Deloitte 4 Kontrolmålsoversigt og detailvurderinger I skemaet på side 5 er i oversigtsform angivet vores vurderinger af faktiske forhold imod kontrolmål for de kontrolområder, som vi har revideret i indeværende år. Skemaet indeholder tillige vores vurderinger for de kontrolområder, som er revideret i tidligere år, såfremt der er blevet fulgt op på disse. I skemaet er resultatet for hvert kontrolmål angivet ved anvendelse af følgende symboler: Symbol Betydning Kontrolniveauet vurderes som ikke betryggende, og der er behov for flere meget væsentlige forbedringer. Kontrolniveauet vurderes som mindre betryggende, og der er behov for forbedringer, hvoraf enkelte kan være væsentlige. Kontrolniveauet vurderes som relativt højt, og der er alene behov for forbedringer af mindre væsentlig karakter. Revisionen af kontrolmålet har ikke givet anledning til bemærkninger. Skemaet fungerer som en indholdsfortegnelse til de detaljerede observationer og anbefalinger, og det er ud for kontrolmålet angivet, på hvilken side i den detaljerede rapport de pågældende forhold er nærmere beskrevet. Såfremt revisionen af et kontrolmål ikke har givet anledning til bemærkninger, er en detaljeret beskrivelse af kontrolmålet således ikke medtaget. For de detaljerede observationer og tilhørende anbefalinger er der angivet en prioritet, baseret på følgende opdeling: Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol. Efter aftale med Greve Kommune er der i den detaljerede rapport ligeledes anført i hvilket afsnit en given anbefaling er hjemmehørende i ISO7001 hvis relevant.
Deloitte 5 Ref. Kontrolmål Vurdering Side B1 B D1 D D3 D4 Alle nødvendige jobs og kørsler, såvel online som batch, afvikles rettidigt og korrekt, og kommunen kontrollerer, at dette sker til normal fuldførelse og med forventet resultat. Data sikkerhedskopieres, opbevares og kan fremskaffes i overensstemmelse med gældende lovgivning og kommunens behov. En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en itrisikoanalyse, og kommunikeret til hele kommunen. Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med kommunens behov. Den logiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. Den fysiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. 6 7 7 9 1 D5 It-ressourcerne er beskyttet mod strømsvigt, brand, vandskade mv. D6 E1 F1 F F3 G1 G H1 H Systemer, data og andre it-ressourcer er beskyttet mod virus. En plan for genoptagelse af kommunens primære it-baserede forretningsprocesser efter en katastrofe er udarbejdet, afprøvet og ledelsesgodkendt og vedligeholdes løbende. Tilretninger til applikationer er tilfredsstillende testet, godkendt og implementeret, og de tilrettede funktioner i applikationen er i overensstemmelse med ledelsens og brugernes forventninger. Væsentlige applikationer kan vedligeholdes og supporteres. Nye applikationer udvikles/indkøbes og implementeres i overensstemmelse med ledelsens forventninger og brugernes behov. Tilretninger til databaser er tilfredsstillende testet og implementeret, og databaser fungerer i overensstemmelse med ledelsens forventninger. Databaser kan vedligeholdes og supporteres. Netværks- og kommunikationssoftware kan vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med kommunens behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. Systemsoftware kan vedligeholdes og supporteres, og ledelsen sikrer, at ændringer eller nyanskaffelser sker i overensstemmelse med kommunens behov, samt at ændringer testes og dokumenteres på tilfredsstillende vis. 13
Deloitte 6 B. It-drift Kontrolmål B Data sikkerhedskopieres, opbevares og kan fremskaffes i overensstemmelse med gældende lovgivning og kommunens behov. Risiko Utilstrækkelige backupprocedurer øger risikoen for, at kommunen lider unødige økonomiske tab, som følge af, at data ikke kan retableres efter et nedbrud, eller at gældende lovgivning på området ikke overholdes. 08-01 Sikkerhedskopiering test Vi har fået oplyst, at der ikke periodisk tages stilling til, om der er gennemført retableringer af data i tilfredsstillende omfang til at underbygge formodningen om, at backup kan anvendes som forventet. Endvidere har vi fået oplyst, at der ikke gennemføres test af fuld recovery, med retablering af hele systemer og data. Vi har konstateret, at kommunen har foretaget restoretests i samarbejde med dmsave. Punktet lukkes. Vurdering i forhold til ISO7001: Manglende efterlevelse af 10.5.1 Backup af information. Vi anbefaler, at der periodisk gennemføres en fuld dokumenteret recovery af udvalgte systemer, data og servere, med henblik på at kontrollere, at dette kan lade sig gøre som forventet. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 7 D. It-sikkerhed Kontrolmål D1 En ledelsesgodkendt it-sikkerhedspolitik er udarbejdet med udgangspunkt i en it-risikoanalyse, og kommunikeret til hele kommunen. Risiko Manglende overordnet it-sikkerhedspolitik, udarbejdet med udgangspunkt i en it-risikoanalyse og kommunikeret til medarbejderne, medfører risiko for, at den etablerede sikkerhed i forbindelse med it-anvendelsen ikke i tilstrækkelig grad opfylder kommunens behov. It-sikkerhedspolitik Vi har konstateret, at kommunen har udarbejdet en itsikkerhedspolitik, men at denne ikke er fuldt tidssvarende. Vi har dog fået oplyst, at kommunen forventer at opdatere it-sikkerhedspolitikken i løbet af 009. Herfor forventes forholdet udbedret fremover. Vi anbefaler, at it-sikkerhedspolitikken opdateres og gøres tidssvarende. 09-01 Vi har konstateret, at der er udarbejdet en itsikkerhedspolitik, og at denne senest er opdateret i 010. Endvidere har vi fået oplyst, at denne er godkendt af itchefen og er forelagt sikkerhedsudvalget, hvor denne forventes at blive godkendt d. 9/6 010. Punktet lukkes. 3 Vurdering i forhold til ISO7001: Manglende efterlevelse af 5.1.1 Formaliseret itsikkerhedspolitik. 10-01 It-risikoanalyse Vi har fået oplyst, at der ikke er udarbejdet en overordnet og ledelsesgodkendt it-risikoanalyse. En manglende eller utilstrækkelig it-risikoanalyse medfører risiko for, at det etablerede it-sikkerhedsniveau ikke i tilstrækkeligt omfang imødegår de risici, som vurderes som relevante. Vi anbefaler, at der udarbejdes en it-risikoanalyse med henblik på at fastlægge det it-sikkerhedsniveau, som ledelsen ønsker for virksomheden. Endvidere anbefaler vi, at itrisikoanalysen opdateres periodisk - minimum en gang årligt - samt når andre faktorer indikerer nødvendigheden heraf, f.eks. større planlagte ændringer eller uventede hændelser af it-sikkerhedsmæssig karakter. Vurdering i forhold til ISO7001: Manglende efterlevelse af 14.1. Fortsat forretningsdrift og risikovurdering. Kontrolmål D Adgang til systemer, data og andre it-ressourcer administreres, vedligeholdes og overvåges i overensstemmelse med kommunens behov. Risiko Manglende eller svage procedurer vedrørende administration, overvågning og vedligeholdelse af adgang til systemer, data og andre it-ressourcer medfører øget risiko for uautoriseret adgang til disse og dermed risiko for, at it-sikkerheden ikke er i overensstemmelse med kommunens behov. Brugerrettigheder nedlæggelser Vi har konstateret, at flere fratrådte brugere fortsat er aktive i Windows Server 003. Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler som ikke længere er nødvendige, som minimum disables. 08-03 Vi har gennem vores stikprøvestørrelse konstateret, at fratrådte brugere var slettet fra Windows Server AD. Endvidere har vi konstateret, at sletning af fratrådte brugere er foretaget ifølge proceduren. Punktet lukkes. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11..1 Brugernedlæggelse. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 8 D. It-sikkerhed 06-06 Brugerrettigheder periodisk revurdering Vi har fået oplyst, at der periodisk følges op på fratrådte brugere, men at gennemgang ikke var endeligt færdigbehandlet på revisionstidspunktet. Vi har endvidere konstateret, at der fortsat ikke bliver foretaget periodisk revurdering af tildelte rettigheder til brugere. Vi har konstateret, at der fortsat ikke bliver foretaget periodisk revurdering af tildelte rettigheder til brugere. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11..4 Revurdering af brugeradgangsrettigheder. Vi anbefaler, at der periodisk foretages en dokumenteret revurdering af tildelte rettigheder til brugere for relevante systemer og platforme. 08-04 It-sikkerhedslogning Vi har konstateret, at der i it-sikkerhedspolitikken stilles krav om logning af brugeres handlinger med henblik på at opdage forsøg på uautoriserede handlinger, herunder forsøg på uautoriseret tilgang til systemer. Vi har fået oplyst, at der ikke er etableret en kontrol med henblik på at sikre, at specificerede logningskrav implementeres på relevante platforme. Endvidere har vi fået oplyst, at der ikke periodisk sker gennemgang af relevante logs eller alarmer på baggrund af disse. Vi anbefaler, at der etableres kontroller, der sikrer, at krav til sikkerhedsmæssig logning på relevante platforme og systemer implementeres og overholdes, samt at der gennemføres en dokumenteret periodisk gennemgang af relevante logs fra disse platforme og systemer. Vi har fået oplyst, at der kun fortages logning af hændelser på Windows. Endvidere har vi fået oplyst, at der ikke gennemføres en dokumenteret periodisk gennemgang. Vurdering i forhold til ISO7001: Manglende efterlevelse af 10.10.1 Audit log. Windows Server 003 it-sikkerhedslogning Vi har konstateret, at logning af Policy Change ikke er implementeret. Forholdet er uændret. Vi anbefaler, at logning af Policy Changes implementeres med logning af såvel gennemførte ændringer (Success) som fejlslagne ændringer (Failure) bliver registreret, og dermed muliggør en opfølgning. 06-07 Manglende eller utilstrækkelig logning af Policy Changes medfører risiko for, at ændringer til f.eks. overordnede sikkerhedsmæssige ændringer, ændringer i konfiguration af logs og tilsvarende, ikke sker i overensstemmelse med forventningerne hertil, samt at forsøg på ændringer ikke følges op i tilstrækkeligt omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af 10.10.1 Audit log. Vi har konstateret, at logning af System Events ikke er implementeret. Forholdet er uændret. Vi anbefaler, at logning af System Events implementeres således, at såvel gennemførte (Success) og fejlslagne (Failure) handlinger registreres. 06-08 Manglende eller utilstrækkelig logning af System Events - som f.eks. sletning af logfiler, nedlukning og genstart af servere, ændringer af systemtiden og tilsvarende forhold, medfører risiko for, at sådanne hændelser - eller forsøg herpå - ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af 10.10.1 Audit log. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 9 D. It-sikkerhed Vi har konstateret, at logning af Account Management ikke er implementeret. Forholdet er uændret. Vi anbefaler, at logning af Account Management implementeres således, at såvel gennemførte (Success) og fejlslagne (Failure) handlinger registreres. 06-09 Manglende eller utilstrækkelig logning af Account Management - som f.eks. oprettelse af brugere, ændring af passwords, disabling af brugere, ændringer af rettigheder og tilsvarende forhold, medfører risiko for, at sådanne hændelser - eller forsøg herpå - ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af 10.10.1 Audit log. Vi har konstateret, at logning af Privilege Use ikke er implementeret. Forholdet er uændret. Vi anbefaler, at der som udgangspunkt implementeres logning af brugeres fejlslagne forsøg (Failure) på at anvende privilegier. 06-10 Manglende eller utilstrækkelig logning af Privilege Use medfører risiko for, at f.eks. fejl i forbindelse med brugeres forsøg på at anvende privilegier ikke registreres i fornødent omfang. Vurdering i forhold til ISO7001: Manglende efterlevelse af 10.10.1 Audit log. Kontrolmål D3 Den logiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. Risiko Svagheder i den logiske sikkerhed øger risikoen for, at interne eller eksterne personer får uautoriseret adgang til it-ressourcerne, og dermed mulighed for at slette, ændre eller kopiere programmer eller data, eller i øvrigt kompromittere kommunens itanvendelse. Endvidere øger svagheder risikoen for, at adgangen til itsystemerne ikke understøtter den i kommunen etablerede organisatoriske funktionsadskillelse. Ekstern sårbarhedsscanning På baggrund af den udførte sårbarhedsscanning har vi konstateret sårbarheder i kommunens interneteksponerede systemer. Vi anbefaler, at der etableres kontroller, der sikrer, at krav til sikkerhedsmæssige svagheder i kommunens interneteksponerede systemer efterkommes. 08-05 Detaljeret resultat af den udførte opfølgning på sårbarhedsscanning er rapporteret i bilag 1. Vurdering i forhold til ISO7001: Manglende efterlevelse af 1.6.1 Kontrol af tekniske sårbarheder. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 10 D. It-sikkerhed Windows Server 003 it-sikkerhedskonfiguration Vi har konstateret, at 07 brugere (som ikke er disabled) er konfigureret således, at de kan undtages for brug af password. Dette omfatter bl.a. brugerne: Vi anbefaler, at alle personlige brugerprofiler underlægges krav om brug af password. 08-07 kvm mgj mru dan akl linh mpe allu css Vi har konstateret, at ingen brugere (som ikke er disabled) er konfigureret således, at de kan undtages for brug af password. Punktet lukkes. Manglende krav om brug af passwords for alle brugerprofiler medfører øget risiko for, at sikkerheden ikke kan opretholdes på systemet. Vi har konstateret 139 (ikke disablede) brugerprofiler som ikke har fået sat et password. Dette omfatter brugerne: Vi anbefaler, at alle aktive brugerprofiler underlægges krav om brug af password, samt at brugerprofiler uden passwords undersøges nærmere. 06-15 jpe- pjc jul mea chs sul hr tbh Vi har konstateret et større antal brugerprofiler, som ikke har fået sat et password. Manglende brug af passwords for aktive brugerprofiler medfører øget risiko for, at sikkerheden på systemet kan kompromitteres. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11..3 Styring af password. Vi har konstateret, at et højt antal brugerprofiler er administratorer på Windows Server 003. Vi anbefaler, at antallet af brugerprofiler med administrative privilegier revurderes og nedbringes såfremt muligt. 08-08 Vi har konstateret, at et større antal personlige brugerprofiler er administratorer på Windows Server 003. Tildeling af administrative privilegier til for mange brugerprofiler medfører risiko for, at sikkerheden ikke kan opretholdes på systemet. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11.. Udvidede rettigheder. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 11 D. It-sikkerhed Vi har konstateret et større antal brugerprofiler på Windows Server 003, som ikke har været logget på i et længere tidsrum. Heraf: Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler som ikke længere er nødvendige, som minimum disables. 06-16 lkj 199 dage kilo 18 dage uim 19 dage moj 143 dage mme 376 dage hsa 389 dage lgr 40 dage clo 310 dage mato 99 dage Vi har konstateret et større antal brugerprofiler, som ikke har fået skiftet password i lang tid. Aktive (ikke-disablede) brugerprofiler som ikke anvendes længere medfører en øget risiko for misbrug af disse, og dermed risiko for, at sikkerheden på systemet kan blive kompromitteret. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11..4 Revurdering af brugeradgangsrettigheder. Vi har konstateret 389 brugerprofiler (ikke disablede), som ikke har været logget på Windows Server 003, heraf: Vi anbefaler, at aktive (ikke-disablede) brugerprofiler gennemgås nærmere, og at brugerprofiler som ikke er nødvendige, som minimum disables. 06-17 ssc vij frr sul aros hpe Vi har konstateret et større antal brugerprofiler, der aldrig har været logget på Windows. Aktive (ikke-disablede) brugerprofiler som ikke anvendes medfører en øget risiko for misbrug af disse, og dermed risiko for at sikkerheden på systemet kan blive kompromitteret. Vurdering i forhold til ISO7001: Manglende efterlevelse af 11..4 Revurdering af brugeradgangsrettigheder. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 1 D. It-sikkerhed Kontrolmål D4 Den fysiske adgang til systemer, data og andre it-ressourcer er begrænset og tilrettelagt i overensstemmelse med kommunens behov. Risiko Svagheder i den fysiske sikkerhed kan forøge risikoen for, at interne eller eksterne personer får uautoriseret adgang til itressourcerne og dermed får mulighed for potentielt at kompromittere kommunens it-anvendelse. Adgang til kritiske lokationer Vi har fået oplyst, at tildelingen af adgang til serverrummet ikke autoriseres formelt og dokumenteret. Yderligere har vi fået oplyst, at der ikke periodisk bliver foretaget en revurdering af medarbejdere med adgang til serverrummet. Vi anbefaler, at tildelte adgange til serverrummet periodisk revurderes, samt at adgange kun tildeles på baggrund af formelle dokumenterede autorisationer. 08-09 Vi har fået oplyst, at forholdet er uændret. Manglende eller utilstrækkelig kontrol med tildelingen af adgange til centrale it-ressourcer - herunder serverrum - medfører risiko for, at for mange adgange tildeles, og dermed risiko for misbrug af adgange. Vurdering i forhold til ISO7001: Manglende efterlevelse af 9.1. Fysisk adgangskontrol. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 13 E. Nødberedskab Kontrolmål E1 En plan for genoptagelse af kommunens primære it-baserede forretningsprocesser efter en katastrofe er udarbejdet, afprøvet og ledelsesgodkendt, og vedligeholdes løbende. Risiko Utilstrækkelige, uafprøvede eller ikke-godkendte nødplaner for håndtering af større nedbrud i it-anvendelsen øger risikoen for, at retablering tager længere tid, end ledelsen forventer, og at kommunen som følge heraf lider ikke kalkulerede eller unødige økonomiske tab. 06-0 Beredskabsplaner test Vi har fået oplyst, at den etablerede beredskabsplanlægning ikke er testet. Vi har konstateret, at beredskabsplanen ikke er testet. Endvidere har vi fået oplyst, at der på nuværende tidspunkt hersker usikkerhed om hvornår denne forventes at blive testet. Manglende eller utilstrækkelig test af den etablerede beredskabsplanlægning medfører risiko for, at de omfattede systemer og platforme ikke kan retableres i overensstemmelse med forventningerne. Vurdering i forhold til ISO7001: Manglende efterlevelse af 14.1.5 Afprøvning, vedligeholdelse og revurdering af beredskabsplaner. Vi anbefaler, at der som minimum gennemføres skrivebordstest af kritiske forudsætninger i beredskabsplanlægningen, samt at kritiske delelementer i denne - f.eks. retablering via backupmedier - tillige afprøves og vurderes. Gennemførte test bør dokumenteres og godkendes, og identificerede ændringsbehov på baggrund af testen bør indarbejdes i beredskabsplanlægningen. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 14 Bilag 1: Detailbemærkninger vedr. ekstern sårbarhedsscanning Ekstern sårbarhedsscanning Pkt. Observation Vurdering Anbefaling Pri. 08-11 Informationsindsamling Vi har observeret, at der på Greve Kommunes hjemmeside er offentligt tilgængelige e-mailadresser på ansatte. Vi har fået oplyst, at forholdet er uændret. De omtalte e- mailadresser er ønsket eksponeret af Greve Kommune. Vi vurderer, at tilstedeværelsen af følsomme informationer om kommunen på internettet øger muligheden for kortlægning og identifikation af potentielle angrebsvektorer, der kan anvendes til mere målrettede angreb på kommunen. Dette øger risikoen for at kommunens systemer og data kan kompromitteres. Vi anbefaler, at kommunen har en politik omkring brugen af internettet, herunder anvendelse af fora, nyhedsgrupper mv. Endvidere anbefaler vi, at det undersøges hvorvidt eksponeringen af e-mail adresser for kommunens ansatte er nødvendig på hjemmesiden. 3 08-1 Eksponerede services Vi vurderer, at kommunens firewall tillader trafik som potentielt udgør en unødvendig risiko for kommunen. Vi har observeret, at Greve Kommunes firewall ikke er optimalt konfigureret. På ip-adressen 195.49.17.194 tillades adgang til flere administrative services, herunder telnet, som er ukrypteret. Vi har desuden observeret, at Kommunens router på ipadresserne 195.49.17.193 og 195.49.17.53 muliggør adgang til login service. Alle eksponerede services udgør potentielt en risiko for tab af fortrolighed, integritet og tilgængelighed for de systemer hvor de er eksponerede, men i nogle tilfælde også for hele kommunens infrastruktur. Derfor bør kun services med et arbejdsbetinget behov eksponeres. For en række af de ældre standard services findes der i dag krypterede alternativer, som man bør benytte for at beskytte kommunens data. Vi anbefaler, at kommunen revurderer sin politik for hvilke typer af trafik til hvilke servere, der skal tillades igennem den pågældende firewall. Vi anbefaler generelt, at kun trafik der udfylder et arbejdsbetinget behov tillades gennem firewallen. 1 Vi har fået oplyst, at omtalte services ikke er længere eksponeret, idet Greve Kommune har fået ny firewall, der ikke administreres på samme måde længere. Punktet lukkes. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 15 Ekstern sårbarhedsscanning Pkt. Observation Vurdering Anbefaling Pri. 08-13 VPN konfiguration Vi har observeret, at en eller flere VPN services er tilgængelige og ikke er konfigureret hensigtsmæssigt. Vi har på den måde konstateret, at der på nedenstående ipnumre er adgang til servicen PPTP. 195.49.17.194 FW 195.49.17.195 Webmail 195.49.17.0 Skolenet 195.49.17.11 AV-server Vi har fået oplyst, at forholdet er uændret. De fire ip-adresser skal kunne tilgås via pptp. Vi vurderer, på baggrund af PPTPs alder, at denne er let at sætte op sikkerhedsmæssigt svagt, således at der er risiko for svag kryptering og mulighed for automatiserede brute force angreb. Vi vurderer derfor, at kommunens VPN udstyr potentielt har konfigurationsmæssige svagheder, som udgør en trussel mod fortroligheden af VPN forbindelser, og dermed kommunens data. Vi anbefaler, at kommunen etablerer en konfigurationsstandard samt procedurer for idriftsættelse og vedligeholdelse af VPN udstyr. 08-14 SSL konfiguration Vi har observeret, at SSL services er tilgængelige, og ikke er konfigureret hensigtsmæssigt. Vi har således konstateret, at der på ip-adresserne 195.49.17.195, 195.49.17.198 og 195.49.17.199 er adgang til en https server, der understøtter SSLv. Vi vurderer, at svagheder i SSL konfigurationen potentielt kan føre til tab af fortrolighed og integritet. Vi anbefaler, at Greve Kommune omkonfigurerer de nævnte webservere, således at SSLv ikke understøttes, og implementerer en baseline for konfiguration af webservere, således at understøttelse af SSLv er slået fra på alle kommunens webservere. Vi har fået oplyst, at forholdet er uændret. 08-15 Svag adgangskontrol Vi har observeret, at kommunen benytter sig af svage adgangskontroller. Der er ukrypteret adgang til loginsiden på Greve Kommunes CMS system på følgende adresse: http://195.49.17.196/layouts/login.aspx. Vi vurderer, at de svage adgangskontroller øger sandsynligheden for, at en målrettet angriber kan opnå uautoriseret adgang. Dette kan føre til tab af fortrolighed og integritet af kommunens data. Vi anbefaler, at kommunen foretager en risikovurdering af de systemer og bagvedliggende data, som eksponeres mod internettet, og overvejer at begrænse adgangen eller implementere stærke adgangskontroller. 1 Vi har fået oplyst, at CMS systemet blev skiftet 009, og der er fortsat ikke adgang til siden, idet det gamle system ikke vil blive anvendt. Punktet lukkes. Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.
Deloitte 16 Ekstern sårbarhedsscanning Pkt. Observation Vurdering Anbefaling Pri. 08-16 Webserver konfiguration Vi har observeret, at kommunen ikke har konfigureret sin webserver hensigtsmæssigt. Vi har således observeret, at NTLM autentifikation er slået til på webserveren med ip-adressen 195.49.17.196. Vi har fået oplyst, at forholdet er uændret. Med Greve Kommunes CMS system kan man kun tilgå data fra intern server. Overførelsen sker via https, og er derfor sikker. Dette er kommet med CMS. Dette muliggør, at en potentiel angriber kan foretage et brute force angreb på alle ikke-administrative brugerkonti, og på den måde opnå uautoriseret adgang til et gyldigt brugernavn og kodeord til serveren. Vi anbefaler, at NTLM autentifikation slås fra på den pågældende webserver, og at der implementeres konfigurationsstandarder. 3 Website Vi har observeret, at der findes sårbarheder i kommunens website, som potentielt kan medføre tab af fortrolighed i forhold til kommunens data. Potentielt kan selve serverens operativsystem kompromitteres. Der er efter vor vurdering ingen grund til at tro at de andre sider i kommunens internet perimeter ikke indeholder lignende fejl, idet disse er bygget på samme webserverplatform og system. Vi anbefaler, at kommunen etablerer standarder og procedurer for udvikling, test og idriftsættelse af websites. 08-17 Således har vi observeret mulighed for cross site scripting angreb, og at der er mulighed for at bruge websiden http://www.greve.dk til at udføre phishing angreb. Vi har fået oplyst, at undersiderne som indeholdte sårbarheder for cross site scripting angreb, og muligheden for at bruge websiden http://www.greve.dk til at udføre phishing angreb, er helt fjernet fra Greve Kommunes hjemmeside. Punktet lukkes. 1 IMM/LLLA T:\Afd1180\10779\1050\Greve kommune GIK 010 - END.doc Prioritet : Anbefalinger til udbedring af svagheder i den interne kontrol.