Deloittes revisionsrapport om revision af generelle it-kontroller 2015

Der skal tages stilling til Deloittes rapport angående generelle it-kontroller for 2015

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

1. at tage orienteringen om Deloittes rapport "Revision af generelle it-kontroller 2015" samt Koncernservices (KS) handlingsplan hertil til efterretning.

Problemstilling

Som led i den løbende revision af Københavns Kommunes regnskab for 2015 har Deloitte foretaget revisions af de generelle it-kontroller, som understøtter kommunens regnskabsaflæggelse.

Revisionen har givet anledning til følgende væsentlige forhold der bør forbedres:

• Der er ikke foretaget en gennemgang af tildelte rettigheder til brugerne i KSP-CICS (brugeradministrationsmodul), Observation 3.2.

Løsning

Revisionsrapportens pkt. 3.1 - IT-sikkerhedsledelse og it-risikoanalyse

En manglende eller utilstrækkelig it-risikoanalyse medfører risiko for, at det etablerede it-sikkerhedsniveau ikke i tilstrækkeligt omfang imødegår de risici, som vurderes som relevante.

Løsning:

KIT har udarbejdet vejledning og værktøjer til hjælp for forvaltningernes udarbejdelse af Risikovurderinger af Kommunens systemer. Forvaltningerne er jf. Sikkerhedsregulativet ansvarlige for risikostyring inden for egne ansvarsområder, men det er en kompleks opgave, der kræver, at der afsættes dedikerede medarbejderressourcer til opgaven.

Borgerrepræsentationen (BR) har på denne baggrund i sit møde d.28/4 2016 godkendt Økonomiforvaltningens (ØKF) indstilling om at finansiering af udgifterne  indgår i budgetforhandlingerne for 2017 som en ”need to udgift”. Såfremt det besluttes at tilføre ekstra ressourcer til IT-sikkerhedsfunktionen i KIT, vil KIT overtage ansvaret for en række it-sikkerhedsopgaver i forvaltningerne, herunder overtager KIT ansvaret for, at der regelmæssigt gennemføres risikovurderinger i de enkelte forvaltninger, og at risikobilledet for forvaltningernes IT-systemer løbende er opdateret.

Revisionsrapportens pkt. 3.2 - Brugerrettigheder - Periodiske revurderinger (AD-KØR-KSP-CICS)

Manglende eller utilstrækkelig periodisk revurdering af tildelte rettigheder til brugere medfører risiko for, at brugeres rettigheder bliver utidssvarende og ikke afspejler deres arbejdsmæssige betingede behov.

Løsning:

KIT har efter beslutning i BR 30. april 2015 gennemført foranalyse og etableret en case for mulig finansiering vedrørende automatisering af adgangsstyring med henblik på at forbedre it-sikkerheden, effektivisere opgaveudførelsen og gøre det muligt at forenkle ledelsestilsynsopgaven med medarbejderens autorisationer til IT-systemer for personaleansvarlige ledere.

ØKF arbejder aktuelt på at afklare finansieringsmulighederne med henblik på snarest muligt at fremlægge indstilling om anskaffelse af system til automatisering af ovenstående processer.

Revisionsrapportens pkt. 3.3 - IT-sikkerhedslogning (AD,KØR,Teknik- og Miljøforvaltningen (TMF))

Manglende eller utilstrækkelig sikkerhedsmæssig logning medfører risiko for, at forsøg på uautoriserede handlinger ikke opdages og imødegås i tilstrækkeligt omfang.

Løsning:

Systemejer for Kør og Navision har igangsat procedure for håndtering af logs, herunder en beskrivelse af logkrav, samt hvorledes der skal følges op på logs. 

Endvidere er der oprettet journaliseringssager i eDoc, således at periodisk gennemgang af relevante logs dokumenteres.

Systemejer for kommunens netværk (AD) har sikret at log allerede er integreret med kommunens Logningsværktøj SIEM (Logpoint).

Systemejer påbegynder udarbejdelse af handlingsplan for procedure og håndtering af logs samt beskrivelse af logkrav og krav til opfølgning på logs.

Handlingsplan forventes afsluttet ultimo 3. kvartal 2016 hvorefter denne implementeres.

Revisionsrapportens pkt. 3.4 - Ændringskontrol - fallback (KØR)

Manglende eller utilstrækkelig planlægning af fallback medfører risiko for unødig komplikationer i forbindelse med, at fejlbehæftede ændringer implementeret i produktionsmiljøet forsøges fjernet igen.

Med fallback menes at det er muligt at rulle systemet tilbage, såfremt en implementering af ændringer i produktionsmiljøet er fejlbehæftet. Et eksempel på tilstrækkelige planlagt fallback kunne være at tage en sikkerhedskopi forud for implementeringen.

Løsning:

Der er allerede implementeret procedure for overvejelserne omkring Fall back. Dette både i forhold til dokumentation og godkendelse i forbindelse med implementering af ændringer til produktionsmiljøet. KIT kan dog på baggrund af stikprøvekontroller konstatere, at overvejelserne ikke altid er blevet dokumenteret. KIT vil sikre at spørgsmålet om Fall back fremover har særlig fokus i forbindelse med   implementering af ændringer til produktionsmiljøet og at dette dokumenteres.

Revisionsrapportens pkt. 3.5 - Brugerrettigheder og funktionsadskillelse i TMF

Manglende eller svage procedurer vedrørende administration og vedligeholdelse af adgange til systemer medfører øget risiko for, at tildelte adgangsrettigheder overstiger brugerens arbejdsmæssige betingede behov eller understøtter virksomhedens orgaisatoriske opdeling af arbejdsopgaver.

Deloitte anbefaler, at Teknik- og Miljøforvaltningen foretager en formel vurdering af funktionsadskillelse på applikationsniveau, således at der på baggrund af en konkret risikovurdering, udarbejdes en oversigt over rolle / adgangsrettigheder, der ud fra ønsket om opretholdelse af en organisatorisk funktionsadskillelse ikke bør tildeles til samme bruger.

Løsning:

Kør systemejer har fremsendt Deloittes revision af Generelle It-kontroller for 2015 til TMF, således at TMF som systemejere for Navision formelt foretager en vurdering af funktionsadskillelse på applikationsniveau. Dette således at der på baggrund af en konkret risikovurdering udarbejdes en oversigt over roller / adgangsrettigheder, der ud fra ønsket om opretholdelse af en organisatorisk funktionsadskillelse ikke bør tildeles til samme bruger.

Revisionsrapportens pkt. 3.7 - Windows AD (TMF) - No Password Expiration

Manglende krav om periodisk skift af password for brugerprofil medfører øget risiko for, at sådanne passwords med tiden bliver kendt af andre, hvormed sikkerheden på systemet kan blive kompromitteret.

Løsning:

KIT har igangsat afdækning af krav og ønsker til et system, der etablerer styring af brugere med administratorrettigheder (Privileged Access Management, PAM). Det forventes, at der medio 2016 foreligger en indstilling til beslutning om valg af PAM-system.

Revisionsrapportens pkt. 3.8 - Windows AD (TMF) - Administrators

Tildeling af administrative privilegier til for mange brugerprofiler medfører risiko for, at sikkerhed ikke kan opretholdes på systemet.

Løsning:

KIT har igangsat afdækning af krav og ønsker til et system, der etablerer styring af brugere med administratorrettigheder (Privileged Access Management, PAM). Det forventes, at der medio 2016 foreligger en indstilling til beslutning om valg af PAM-system.

Det er aftalt, at KS Brugeradministration foretager en manuel oprydning af de 9 brugere med udvidede rettigheder uden til knytning til KIT.

Økonomi

Indstillingen har ingen økonomiske konsekvenser

Videre proces

Økonomiforvaltningen vil sørge for at ovennævnte handlingsplaner bliver udført 

 

Mikkel Hemmingsen                               /  Bjarne Winge

Dagsordenspunkt 6: Deloittes revisionsrapport om revision af generelle it-kontroller 2015 (2016-0219858)

Økonomiudvalgets beslutning i mødet den 14. juni 2016

Indstillingen blev taget til efterretning uden afstemning.

 

Det Konservative Folkeparti afgav følgende protokolbemærkning:

”Det er meget kritisk, at der ikke er kontrol med brugerrettighederne til kommunens IT-systemer, dels fordi personfølsomme oplysninger kan tilgå uvedkommende, og dels fordi risikoen for besvigelser er større, hvis uvedkommende har rettigheder til systemer, de ikke skal anvende.”