Deloittes revisionsrapport om revision af generelle it-kontroller 2015
Indstilling
Økonomiforvaltningen indstiller over for Økonomiudvalget,
-
at tage orienteringen om Deloittes rapport "Revision af generelle it-kontroller 2015" samt Koncernservices (KS) handlingsplan hertil til efterretning.
Problemstilling
Som led i den løbende revision af Københavns Kommunes regnskab for 2015 har Deloitte foretaget revisions af de generelle it-kontroller, som understøtter kommunens regnskabsaflæggelse.
Revisionen har givet anledning til følgende væsentlige forhold der bør forbedres:
- Der er ikke foretaget en gennemgang af tildelte rettigheder til brugerne i KSP-CICS (brugeradministrationsmodul), Observation 3.2.
Løsning
Revisionsrapportens pkt. 3.1 - IT-sikkerhedsledelse og it-risikoanalyse
En manglende eller utilstrækkelig it-risikoanalyse medfører risiko for, at det etablerede it-sikkerhedsniveau ikke i tilstrækkeligt omfang imødegår de risici, som vurderes som relevante.
Løsning:
KIT har udarbejdet vejledning og værktøjer til hjælp for forvaltningernes udarbejdelse af Risikovurderinger af Kommunens systemer. Forvaltningerne er jf. Sikkerhedsregulativet ansvarlige for risikostyring inden for egne ansvarsområder, men det er en kompleks opgave, der kræver, at der afsættes dedikerede medarbejderressourcer til opgaven.
Borgerrepræsentationen (BR) har på denne baggrund i sit møde d.28/4 2016 godkendt Økonomiforvaltningens (ØKF) indstilling om at finansiering af udgifterne indgår i budgetforhandlingerne for 2017 som en ”need to udgift”. Såfremt det besluttes at tilføre ekstra ressourcer til IT-sikkerhedsfunktionen i KIT, vil KIT overtage ansvaret for en række it-sikkerhedsopgaver i forvaltningerne, herunder overtager KIT ansvaret for, at der regelmæssigt gennemføres risikovurderinger i de enkelte forvaltninger, og at risikobilledet for forvaltningernes IT-systemer løbende er opdateret.
Revisionsrapportens pkt. 3.2 - Brugerrettigheder - Periodiske revurderinger (AD-KØR-KSP-CICS)
Manglende eller utilstrækkelig periodisk revurdering af tildelte rettigheder til brugere medfører risiko for, at brugeres rettigheder bliver utidssvarende og ikke afspejler deres arbejdsmæssige betingede behov.
Løsning:
KIT har efter beslutning i BR 30. april 2015 gennemført foranalyse og etableret en case for mulig finansiering vedrørende automatisering af adgangsstyring med henblik på at forbedre it-sikkerheden, effektivisere opgaveudførelsen og gøre det muligt at forenkle ledelsestilsynsopgaven med medarbejderens autorisationer til IT-systemer for personaleansvarlige ledere.
ØKF arbejder aktuelt på at afklare finansieringsmulighederne med henblik på snarest muligt at fremlægge indstilling om anskaffelse af system til automatisering af ovenstående processer.
Revisionsrapportens pkt. 3.3 - IT-sikkerhedslogning (AD,KØR,Teknik- og Miljøforvaltningen (TMF))
Manglende eller utilstrækkelig sikkerhedsmæssig logning medfører risiko for, at forsøg på uautoriserede handlinger ikke opdages og imødegås i tilstrækkeligt omfang.
Løsning:
Systemejer for Kør og Navision har igangsat procedure for håndtering af logs, herunder en beskrivelse af logkrav, samt hvorledes der skal følges op på logs.
Endvidere er der oprettet journaliseringssager i eDoc, således at periodisk gennemgang af relevante logs dokumenteres.
Systemejer for kommunens netværk (AD) har sikret at log allerede er integreret med kommunens Logningsværktøj SIEM (Logpoint).
Systemejer påbegynder udarbejdelse af handlingsplan for procedure og håndtering af logs samt beskrivelse af logkrav og krav til opfølgning på logs.
Handlingsplan forventes afsluttet ultimo 3. kvartal 2016 hvorefter denne implementeres.
Revisionsrapportens pkt. 3.4 - Ændringskontrol - fallback (KØR)
Manglende eller utilstrækkelig planlægning af fallback medfører risiko for unødig komplikationer i forbindelse med, at fejlbehæftede ændringer implementeret i produktionsmiljøet forsøges fjernet igen.
Med fallback menes at det er muligt at rulle systemet tilbage, såfremt en implementering af ændringer i produktionsmiljøet er fejlbehæftet. Et eksempel på tilstrækkelige planlagt fallback kunne være at tage en sikkerhedskopi forud for implementeringen.
Løsning:
Der er allerede implementeret procedure for overvejelserne omkring Fall back. Dette både i forhold til dokumentation og godkendelse i forbindelse med implementering af ændringer til produktionsmiljøet. KIT kan dog på baggrund af stikprøvekontroller konstatere, at overvejelserne ikke altid er blevet dokumenteret. KIT vil sikre at spørgsmålet om Fall back fremover har særlig fokus i forbindelse med implementering af ændringer til produktionsmiljøet og at dette dokumenteres.
Revisionsrapportens pkt. 3.5 - Brugerrettigheder og funktionsadskillelse i TMF
Manglende eller svage procedurer vedrørende administration og vedligeholdelse af adgange til systemer medfører øget risiko for, at tildelte adgangsrettigheder overstiger brugerens arbejdsmæssige betingede behov eller understøtter virksomhedens orgaisatoriske opdeling af arbejdsopgaver.
Deloitte anbefaler, at Teknik- og Miljøforvaltningen foretager en formel vurdering af funktionsadskillelse på applikationsniveau, således at der på baggrund af en konkret risikovurdering, udarbejdes en oversigt over rolle / adgangsrettigheder, der ud fra ønsket om opretholdelse af en organisatorisk funktionsadskillelse ikke bør tildeles til samme bruger.
Løsning:
Kør systemejer har fremsendt Deloittes revision af Generelle It-kontroller for 2015 til TMF, således at TMF som systemejere for Navision formelt foretager en vurdering af funktionsadskillelse på applikationsniveau. Dette således at der på baggrund af en konkret risikovurdering udarbejdes en oversigt over roller / adgangsrettigheder, der ud fra ønsket om opretholdelse af en organisatorisk funktionsadskillelse ikke bør tildeles til samme bruger.
Revisionsrapportens pkt. 3.7 - Windows AD (TMF) - No Password Expiration
Manglende krav om periodisk skift af password for brugerprofil medfører øget risiko for, at sådanne passwords med tiden bliver kendt af andre, hvormed sikkerheden på systemet kan blive kompromitteret.
Løsning:
KIT har igangsat afdækning af krav og ønsker til et system, der etablerer styring af brugere med administratorrettigheder (Privileged Access Management, PAM). Det forventes, at der medio 2016 foreligger en indstilling til beslutning om valg af PAM-system.
Revisionsrapportens pkt. 3.8 - Windows AD (TMF) - Administrators
Tildeling af administrative privilegier til for mange brugerprofiler medfører risiko for, at sikkerhed ikke kan opretholdes på systemet.
Løsning:
KIT har igangsat afdækning af krav og ønsker til et system, der etablerer styring af brugere med administratorrettigheder (Privileged Access Management, PAM). Det forventes, at der medio 2016 foreligger en indstilling til beslutning om valg af PAM-system.
Det er aftalt, at KS Brugeradministration foretager en manuel oprydning af de 9 brugere med udvidede rettigheder uden til knytning til KIT.
Økonomi
Indstillingen har ingen økonomiske konsekvenser
Videre proces
Økonomiforvaltningen vil sørge for at ovennævnte handlingsplaner bliver udført
Mikkel Hemmingsen / Bjarne Winge
Beslutning
Dagsordenspunkt 6: Deloittes revisionsrapport om revision af generelle it-kontroller 2015 (2016-0219858)
Økonomiudvalgets beslutning i mødet den 14. juni 2016
Indstillingen blev taget til efterretning uden afstemning.
Det Konservative Folkeparti afgav følgende protokolbemærkning:
”Det er meget kritisk, at der ikke er kontrol med brugerrettighederne til kommunens IT-systemer, dels fordi personfølsomme oplysninger kan tilgå uvedkommende, og dels fordi risikoen for besvigelser er større, hvis uvedkommende har rettigheder til systemer, de ikke skal anvende.”