Svidande kritik av kommunal IT-säkerhet

Hackare kan enkelt ta sig in i Enköpings kommuns IT-miljö, skaffa sig högsta behörighet, tanka ner känslig information, låsa användare ute och kryptera filer.

5 februari 2019 21:00

Det står klart efter en granskning av intrångsskydd som revisionsbolaget PwC gjort på uppdrag av kommunens förtroendevalda revisorer. Flera angrepp gjordes som en kontroll av säkerheten, och PwC konstaterar att de var ”av enkel karaktär och kan genomföras av en mindre sofistikerad angripare utan kunskap om IT-miljön”. Kommunens IT-avdelning upptäckte inte angreppen.

Revisionsrapporten skriver också att lösenordspolicyn har brister och att alltför många konton har administratörsrättigheter för domänen enkoping.se vilket ytterligare ökar riskerna. Eftersom attackerna inte upptäckts, har de inte hanterats oavsett om intrång skett från intern eller extern aktör.

Revisionsrapporten skulle ha behandlats vid fullmäktiges sammanträde på måndagskvällen, men ärendet bordlades då ingen av kommunens revisorer hade möjlighet att närvara.

Bengt-Åke Gelin (M), ordförande i kommunrevisionen, betecknar resultatet av den granskning man beställde av PwC som ”oroväckande”:

– Återkommande rubriker i media om hur intrång sker i IT-system och vilka konsekvenser det kan få eller fått gjorde att vi tog upp frågan med PwC. Resultatet av granskningen gjorde oss förskräckta, hackare har fått tillgång till hela kommunens IT-miljö, säger Bengt-Åke Gelin från sjuksängen på tisdagen.

Ingvar Smedlund (M), kommunstyrelsens ordförande i Enköping, kommenterade rapporten på måndagen:

– Det är en allvarlig rapport och uppenbarligen något vi missat. I synnerhet är den lätthet som hackare kunnat ta sig in i systemet oroande, säger han.

Rapporten bygger på undersökningar av IT-miljön under den förra S-NE-majoriteten. Men Ingvar Smedlund säger att han inte vill ”peka finger” när det gäller den här frågan:

– Vi har velat ha och ge tillgång till nätet och de möjligheter det erbjuder. Vi har också en konsultfirma som sysslar med säkerhetsfrågor och som gör tester, säger Ingvar Smedlund.

Han vill inte ge uttryck för någon uppfattning om hur det uppdraget har skötts.

Jesper Englundh, kommunalråd (S), säger liksom Smedlund att rapporten visar på allvarliga brister, men också att de rekommendationer den ger är bra.

Rekommendationerna består bland annat av en förbättring av lösenordspolicyn, en översyn av konton och administratörsrättigheter, och installation av automatiska larm för säkerhetsloggar som avviker från normalt användarbeteende. Man rekommenderar också bättre säkerhet för mobila enheter, som mobiler och Ipads.

Rapporten om intrångsskydd

Granskningen utgår från sex kontrollfrågor, ingen av dem har besvarats så att PwC kommunens IT-säkerhet fått grönt ljus. Fyra har fått rött ljus, två gult.

De två frågor som fått gult ljus gällde ”tydlig roll- och ansvarsfördelning i frågor kring den övergripande IT-säkerheten” och om det finns ”kända och tillämpade dokument och riktlinjer att följa vid uppmärksammande av risker eller ett intrång”.

Rött ljus fick frågorna om det finns tillräckliga verktyg och processer för att upptäcka en attack, om incidenter hanteras på ett ändamålsenligt sätt, om säkerheten vid intrång från extern eller intern aktör är tillräckligt hög, och om det finns lända och tillämpade styrande dokument och riktlinjer för förebyggande arbete kring IT-säkerhet.

Så jobbar vi med nyheter
 Läs mer här!
Lotta Lille