Det står klart efter en granskning av intrångsskydd som revisionsbolaget PwC gjort på uppdrag av kommunens förtroendevalda revisorer. Flera angrepp gjordes som en kontroll av säkerheten, och PwC konstaterar att de var ”av enkel karaktär och kan genomföras av en mindre sofistikerad angripare utan kunskap om IT-miljön”. Kommunens IT-avdelning upptäckte inte angreppen.
Revisionsrapporten skriver också att lösenordspolicyn har brister och att alltför många konton har administratörsrättigheter för domänen enkoping.se vilket ytterligare ökar riskerna. Eftersom attackerna inte upptäckts, har de inte hanterats oavsett om intrång skett från intern eller extern aktör.
Revisionsrapporten skulle ha behandlats vid fullmäktiges sammanträde på måndagskvällen, men ärendet bordlades då ingen av kommunens revisorer hade möjlighet att närvara.
Bengt-Åke Gelin (M), ordförande i kommunrevisionen, betecknar resultatet av den granskning man beställde av PwC som ”oroväckande”:
– Återkommande rubriker i media om hur intrång sker i IT-system och vilka konsekvenser det kan få eller fått gjorde att vi tog upp frågan med PwC. Resultatet av granskningen gjorde oss förskräckta, hackare har fått tillgång till hela kommunens IT-miljö, säger Bengt-Åke Gelin från sjuksängen på tisdagen.
Ingvar Smedlund (M), kommunstyrelsens ordförande i Enköping, kommenterade rapporten på måndagen:
– Det är en allvarlig rapport och uppenbarligen något vi missat. I synnerhet är den lätthet som hackare kunnat ta sig in i systemet oroande, säger han.
Rapporten bygger på undersökningar av IT-miljön under den förra S-NE-majoriteten. Men Ingvar Smedlund säger att han inte vill ”peka finger” när det gäller den här frågan:
– Vi har velat ha och ge tillgång till nätet och de möjligheter det erbjuder. Vi har också en konsultfirma som sysslar med säkerhetsfrågor och som gör tester, säger Ingvar Smedlund.
Han vill inte ge uttryck för någon uppfattning om hur det uppdraget har skötts.
Jesper Englundh, kommunalråd (S), säger liksom Smedlund att rapporten visar på allvarliga brister, men också att de rekommendationer den ger är bra.
Rekommendationerna består bland annat av en förbättring av lösenordspolicyn, en översyn av konton och administratörsrättigheter, och installation av automatiska larm för säkerhetsloggar som avviker från normalt användarbeteende. Man rekommenderar också bättre säkerhet för mobila enheter, som mobiler och Ipads.