Embed Size (px)
Citation preview
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner
Avdelingsdirektør Ryno Andersen, mars 2016
2
Plan for innlegget
• Kort presentasjon
• Kort om Riksrevisjonen
• Erfaringer fra sikkerhetsrevisjoner
Om Riksrevisjonen
• Mandat: Riksrevisjonen skal bidra til
at fellesskapets midler og verdier blir
brukt og forvaltet slik Stortinget har
bestemt.
• Visjon: Bedre offentlig ressursbruk.
• Dette gjør vi gjennom revisjon,
kontroll og veiledning.
3
Hvorfor er Riksrevisjonen interessert i informasjonssikkerhet?
• I utøvelse av vårt mandatet vurderer vi• etterlevelse av regelverk
• etterlevelse av vedtak slik Stortinget har
bestemt
• forvaltningen av statens materielle verdier
• ikt og internkontrollens påvirkning på
regnskapet
4
Litt
• NSMs «Helhetlig –IKT- risikobilde 2016»
- Del av virksomhetens langsiktige
strategi – dvs. styring/ledelse
- Ikt- grunnsikring med gode rutiner for
vedlikehold og drift, håndtering av
uønskede hendelser og gjenoppretting
• Riksrevisjonens ønske: Risikodrevet, helhetlig
og effektiv intern kontroll
5
6
Erfaringer fra revisjon av
informasjonssikkerhet
Grunnlag: Revisjon av 60 virksomheter i perioden 2010-2016 direkte
rettet mot ikt-sikkerhet.
I samme periode er ikt-sikkerhet knyttet til regnskapene revidert i 224
virksomheter med større eller mindre grad av intensitet.
Tidligere funn er fortsatt gyldige i 2016.
Risikovurderinger
• Stort sett alle virksomheter
hadde gjennomført
risikoanalyser, men da ofte
knyttet til om virksomhetene
når sine mål.
7
• Halvparten manglet imidlertid risikoanalyser
som omfattet de viktigste verdiene i
virksomheten
• Omtrent halvparten hadde heller ikke rutiner for
jevnlig oppdatering av analysene.
Sikkerhetspolicy og en sikkerhetsorganisasjon
• Stort sett alle hadde en
sikkerhetspolicy eller
tilsvarende dokumenter.
• Stort sett alle hadde
etablert en egen
sikkerhetsorganisasjon.
8
Beskyttelse - tilganger
9
• Stort sett alle virksomheter hadde etablert
rutiner for administrasjon av tilganger for
vanlige ansatte.
• Imidlertid ofte• manglende oversikt over gitte tilganger.
• manglende rutiner for tildeling av tilganger til de
med utvidede rettigheter.
• mange brukerkonti med administratorrettigheter.
• bruk av upersonlige brukere/ fellesbrukere.
• manglende periodiske gjennomganger av tilganger.
Beskyttelse - logging og overvåkning
• Gjennomgående svakheter på
området logging og overvåking.
• Brukere og systemadministrators
aktiviteter har liten grad blitt
logget eller fulgt opp.
10
Beskyttelse – serverrom
11
• Revisjonene våre har vist
at de fleste serverrom er
sikret mot fysiske farer.
Beskyttelse – for øvrig
• Svake krav til passord
• Manglende patching
• Manglende testing av endringer og
systemer før produksjonssetting
• Manglende systemdokumentasjon.
• Manglende oppfølging av
driftsleverandører
12
Rapportering av hendelser og informasjonssikkerhetsbrudd
• Over halvparten av virksomhetene
hadde rutiner for å rapportere og
håndtere hendelser og
informasjonssikkerhetsbrudd.
• Omtrent halvparten av disse hadde
imidlertid ikke konkretisert hvilke typer
hendelser som skal loggføres og
rapporteres som sikkerhetsbrudd.
13
Kontinuitetsplanlegging
• Stort sett alle virksomheter
hadde en kontinuitetsplan
eller prosess for
kontinuitetsplanlegging.
14
• Få virksomheter hadde imidlertid oppdaterte
kontinuitetsplaner for IKT
• Generelt gjennomfører altfor få virksomheter
øvelser i kontinuitetsplanen. Dette ble markert
endret etter 22.juli 2011.
Opplæring og bevisstgjøring
• Over halvparten hadde opplæring
og/eller løpende tiltak for bevisstgjøring
innen informasjonssikkerhet i egen
organisasjon.
• Opplæring og bevisstgjøring av eksterne
brukere er svakere enn for egne ansatte.
15
Erfaring fra sikkerhetsrevisjoner
• JDs brev til departementene jan. 2016
• 4 anbefalte tiltak:• Oppgradere program og maskinvare
• Installer sikkerhetsoppdateringer så raskt som mulig
• Ikke tildel sluttbrukere administratorrettigheter
• Blokker kjøring av ikke av ikke- autoriserte programmer
16
Erfaring fra sikkerhetsrevisjoner
• Et sikkerhetsprosjekt som omfatter revisjon av
styringssystem for ikt-sikkerhet «Tonen på
toppen.»
• Mange har etablert gode styringssystemer for
ikt-sikkerhet, men en gjennomgående svakhet
er at de ikke fungere etter hensikten.
17
Hva er utfordringene?
• Mangelfull ledelsesforankring av
arbeidet med informasjonssikkerhet.
• For lav trussel- og risikoforståelse.
• Mangelfull grunnsikring.
• Mangelfull kompetanse på utvalgte
områder.
18
Anbefalinger
• Erkjenn at dere har eller forvalter verdier og
informasjon som andre er ute etter.
• Virksomheter vil aldri kunne sikre all
informasjon. Det viktige er å identifisere
informasjonen og informasjonssystemer som er
av høyest verdi og sikre disse deretter.
• Husk på å gi opplæring til og kontinuerlig
bevisstgjøre både ledere og ansatte i hvordan
de kan påvirke informasjonssikkerhetsarbeidet.
19
Hva må gjøres
• Toppledelsen/styre må skape en god
sikkerhetskultur.
• Må jevnlig teste at styringssystemet for ikt-
sikkerhet virker i praksis.
• Ledere må måles på arbeidet med ikt-
sikkerhet.
(Det som blir målt, blir gjort! Gammelt jungelord i forvaltningen)
20
