Granskning av kommunens informationssäkerhet

KPMG har av Säters kommuns förtroendevalda revisorer fått i uppdrag att genomföra en granskning av styrelsen och nämndernas rutiner för sitt informationssäkerhetsarbete. Uppdraget ingår i revisionsplanen för år 2022.

Granskningens syfte är bedöma om styrelser och nämnder har en tillräcklig intern styrning och kontroll som säkerställer ett ändamålsenligt och systematiskt arbetssätt med informationssäkerheten i kommunen. Vår sammanfattande bedömning utifrån granskningens syfte är kommunstyrelsen och nämnderna inte har en tillräcklig intern styrning och kontroll som säkerställer ett ändamålsenligt och systematiskt arbetssätt med informationssäkerheten i kommunen.

Vi gör bedömningen utifrån att upprättade styrdokument samt roller och ansvar inte stämmer överens med nuvarande organisationsuppbyggnad.

Vidare bygger bedömningen på att det finns ett behov av att riskanalyser och informationsklassningar genomförs i syfte att säkerställa att informationen hanteras på korrekt sätt samt att verksamhetssystemen är tillräckligt säkra för att hantera eventuellt känslig information.

Det finns även behov av att upprätta rutiner för omprövning av genomförda riskanalyser och klassningar.

Då IT-avdelningen i tid för granskningen saknar ett servicenivåavtal från samtliga nämnder samt styrelsen gör vi bedömningen att det finns behov av att upprätta detta.
I uppföljningen av internkontrollplanen framgår att det finns medarbetare som saknar kunskap om hur de ska hantera personuppgifter samt även rutiner för borttappade utrustning. Utifrån detta finns behov av att genomföra utbildningsinsatser avseende informationssäkerhet.

Vidare gör vi bedömningen att samtliga nämnder i sitt internkontrollarbete beaktar informationssäkerhet och utifrån en riskanalys gör en bedömning om det finns behov av att inkludera kontrollmoment riktat mot detta.

Samtliga nämnder samt styrelsen har behov av att upprätta former för uppföljning av det informationssäkerhetsarbete som bedrivs.

Mot bakgrund av vår granskning rekommenderar vi kommunstyrelsen att:

• Se över styrande och stödjande dokument så att de överensstämmer med de organisationsförändringar som skett i kommunen samt se över beskrivningar av roller och ansvar så att de stämmer överens med organisationens nuvarande uppbyggnad.
• Säkerställa att riskanalyser och informationsklassningar av information samt verksamhetssystem genomförs.
• Upprätta former avseende omprövning av genomförda riskanalyser och informationsklassningar.
• Upprätta ett servicenivåavtal (SLA) mellan nämnden och IT-avdelningen.
• Genomföra utbildningsinsatser för samtliga medarbetare i kommunen samt göra dessa obligatoriska, bland annat i syfte att minska risken för att informationssäkerhetsincidenter uppstår.
• Säkerställa att hantering av incidenter sker i enlighet med upprättade styrdokument samt att incidenterna dokumenteras, analyserar och bedöms på kommunövergripande nivå i syfte att kunna vidta nödvändiga åtgärder.
• Ställa krav om uppföljning och återrapportering av kommunens samlade informationssäkerhetsarbete i enlighet med LIS så att beslut kan tas om mål och handlingsplan över åtgärder.

Mot bakgrund av granskningen rekommenderar vi samtliga nämnder att:

• Systematiskt genomföra riskbedömning och informationsklassning av den information som hanteras i system samt utifrån dessa ställa krav om nödvändiga åtgärder.
• Upprätta rutiner avseende omprövning av genomförda riskanalyser och informationsklassningar.
• Säkerställa att uppföljning sker av deltagandet i de utbildningsinsatser som genomförs.
• Upprätta ett servicenivåavtal (SLA) mellan nämnden och IT-avdelningen.
• Beakta informationssäkerhet i internkontrollarbetet och utifrån en riskanalys göra en bedömning om det finns behov av att inkludera kontrollmoment riktat mot detta.
• Upprätta former för årlig uppföljning angående det informationssäkerhetsarbete som sker inom nämndens verksamhetsområde och besluta om nödvändiga åtgärder för att förbättra informationssäkerheten utifrån aktuella risker och behov.

KPMG har av Säters kommuns förtroendevalda revisorer fått i uppdrag att genomföra en granskning av styrelsen och nämndernas rutiner för sitt informationssäkerhetsarbete. Uppdraget ingår i revisionsplanen för år 2022.

Informationssäkerhet (där IT-säkerhet ingår som en del) är ett begrepp som används om informationssäkerhet för information som hanteras i kommunens IT-system. Allt mer information hanteras idag med olika tekniska lösningar och aldrig förr har kommunerna hanterat sådana mängder information som görs idag. Informationssäkerhet innebär att skydda information utifrån dess krav på konfidentialitet, riktighet och tillgänglighet i alla kommunens system. För att kunna hantera detta på ett ändamålsenligt sätt krävs att kommunen har ett systematiskt informationssäkerhetsarbete där flera funktioner i kommunen är involverade och rätt organiserade för uppdraget. Informationssäkerhet är inte en IT-fråga utan en fråga om att säkra och trygga driften av kommunens kärnverksamheter.

Verksamheternas ökade beroende av informationsteknik (IT) innebär ökade risker i form av dataintrång, bedrägerier och spridning av skadlig kod. Många verksamheter inom kommunen är idag helt beroende av väl fungerande IT. För flera verksamheter handlar ett väl fungerande IT-stöd såväl om säkerhet som möjlighet till en fungerande verksamhet utan driftstörningar. Hotbilden med risker för intrång förändras kontinuerligt och säkerhetsarbetet behöver därför vara en ständigt pågående process för att säkerställa att kommunens informationstillgångar har ett tillräckligt skydd.

Med anledning av ovanstående drar kommunens revisorer slutsatsen i sin riskanalys, att arbetet med informationssäkerheten behöver granskas.

Syfte, revisionsfrågor och avgränsning

Granskningens syfte är bedöma om styrelser och nämnder har en tillräcklig intern styrning och kontroll som säkerställer ett ändamålsenligt och systematiskt arbetssätt med informationssäkerheten i kommunen.

Granskningen ska besvara följande revisionsfrågor:

• Finns aktuella styrande dokument som tydliggör ansvar, vilka krav som ställs och hur arbetet ska bedrivas?
• Finns en ändamålsenlig organisation för att arbeta med informationssäkerhet?
• Finns ett systematiskt arbete med riskanalyser och informationsklassning?
• Sker en kravställning av IT-säkerhetsåtgärder utifrån genomförd riskbedömning och klassning av informationstillgångar som hanteras i system?
• Finns ett systematiskt arbetssätt med IT-säkerhet för central IT-infrastruktur (nätverk, servrar, klienter mm.)?
• Finns incidenthanteringsrutiner och sker en tillräcklig rapportering av inträffade incidenter?
• Görs systematiska uppföljningar av implementerade säkerhetsåtgärder för att kontinuerligt förbättra informationssäkerheten?
•  Finns ett ändamålsenligt arbete med att följa upp att beslut och styrdokument relaterat till informationssäkerhet efterlevs?

Avseende kommunstyrelsen avser granskningen dels det övergripande och samordnande ansvaret för informations- och IT-säkerhetsarbetet, dels eget ansvar för de informationstillgångar som hanteras.

Granskningen avser kommunstyrelsen och samtliga nämnder.

Revisionskriterier

Vi har bedömt om rutinerna uppfyller:

• Kommunallagen 6 kap. 6 §
• Tillämpbara interna regelverk, policys och beslut
• MSB:s rekommendationer avseende Ledningssystem för informationssäkerhet
• NIS-direktivet i tillämpliga delar avseende kartläggning och analys av risker

Metod

Granskningen har genomförts genom dokumentstudier av följande dokument:

• Policy för informationssäkerhet
• Riktlinjer för ledningssystem för informationssäkerhet
• IT-policy
• Riktlinjer behandling av personuppgifter
• Internkontrollplaner för samtliga nämnder, 2022
• Uppföljning av internkontrollplan för kommunstyrelsen, 2021
• Samverkansavtal avseende Gemensam drift och support av IT-miljön i Säter och Borlänge kommun
• Utredning Sammanslagning av IT Borlänge kommun och Säters kommun

samt genom intervjuer med följande funktioner:

• Kommunstyrelsens presidium
• Kommundirektör
• Kanslichef
•  IT-chef
• Sektorchef, Sociala sektorn
• Sektorchef, Samhällsbyggnadssektorn
• Sektorchef, Barn- och utbildningssektorn
• Säkerhetssamordnare

Samtliga intervjupersoner har fått möjlighet att faktakontrollera rapporten.

Metodstöd för systematiskt informationssäkerhetsarbete

MSB har tagit fram ett metodstöd till organisationer avseende informationssäkerhetsarbetet. Metodstödet baserat på den internationella standardserien för informationssäkerhet, ISO/IEC 27000, och ämnar till att förtydliga hur informationssäkerhetsarbetet kan utformas.
Metodstödet består av fyra olika metodsteg för informationssäkerhetsarbetet vilka illustreras i nedanstående figur.

Identifiera och analysera

Syftet med att analysera informationssäkerhetsarbetet är enligt MSB att säkerställa att informationssäkerheten utformas utifrån verksamhetens rådande förutsättningar. Det ska även leda till att väsentliga informationstillgångar identifieras, vilka risker de ska skyddas mot, samt valda säkerhetsåtgärder.

Utforma

Enligt MSB:s metodstöd behövs följande delar för ett systematiskt informationssäkerhetsarbete:
• Organisation
• Informationssäkerhetsmål
• Styrdokument
• Klassningsmodell
• Handlingsplan
• Kontinuitetshantering för informationstillgångar

Använda

När verksamheten har utformat styrningen enligt avsnitt 2.4.2 ska det tillämpas. Det innebär:
• Kontinuerligt arbete med att klassa organisationens information för att identifiera känslig och kritisk information för att kunna säkerställa tillräckligt skydd.
• Genomföra och efterleva de handlingsplaner och styrdokument som avser informationssäkerhetsarbetet.
• Utbilda och kommunicera informationssäkerhetsfrågor till organisationens medarbetare. Det är ständigt pågående arbete som är nödvändigt för att skapa ett systematiskt informationsarbete.

Följa upp och förbättra

Informationssäkerhetsarbetet ska utvärderas och följas upp för att säkerställa att arbetets fortsatta lämplighet, tillräcklighet och verkan. Det kan enligt MSB ske genom övervakning, mätning och måluppföljning.

Roller och ansvar

Informationssäkerhetsbegreppet och dess innehåll kan översiktligt beskrivas i nedanstående skiss:

Informationssäkerhetsarbetet kan struktureras i ett Ledningssystem för informationssäkerhet, kallat LIS. I ett sådant har verksamheten tydliggjort krav som ställs genom styrande dokument och hur ansvaret är fördelat.
En central del i ett ledningssystem, är enligt MSB, ledningens uttalade stöd. Ledningen bör också se till att organisationen antar en policy för informationssäkerhetsarbetet. I ytterligare styrdokument, riktlinjer och liknande kan sedan den högsta ledningen ge vägledningen till chefer och övriga medarbetare. Det är viktigt att alla i en organisation känner till och förstår innehållet i policys och riktlinjer. Erfarenhet visar tydligt vikten av att anställda uppvisar ett säkert beteende i sitt dagliga arbete. En stor del av arbetet med att driva ett ledningssystem handlar därför om att informera medarbetare om de regler som ingår i ledningssystemet.
Den svenska och internationella standardserien SS-ISO/IEC 27000 visar på ett sådant ledningssystem där säkerhetsnivån tar sin utgångspunkt i en verksamhetsanpassad riskanalys, och där informationssäkerhetsarbetet följer en tydlig process. Tillämpning av standarderna enligt denna serie underlättar arbetet med informationssäkerhet inom organisationer och förbättrar också möjligheterna att externt bedöma säkerhet och revidera denna på ett enhetligt sätt.

Enligt MSB:s metodstöd för hur ett systematiskt informationssäkerhetsarbete kan bedrivas framgår det hur ansvaret för arbetet med informationssäkerhet bör fördelas. Det bör finnas en person inom organisationen med ansvar för att samordna informationssäkerhetsarbetet. Grundprincipen är att ansvaret för informationssäkerhetsarbete ska följa det ordinarie verksamhetsansvaret från ledning ner till enskilda medarbetare. Informationssäkerhetssamordnaren har därmed inget formellt ansvar för informationssäkerheten utan ska verka som ett stöd för att den övriga organisationen innefattande ledning, verksamhetschefer och medarbetare, tar sitt ansvar för informationssäkerhet i verksamheten.

Det är viktigt att tydligt klargöra informationssäkerhetssamordnarens roll och vilket mandat och rapporteringsplikt som ska ingå i rollen.

Var i organisationen informationssäkerhetssamordnaren eller motsvarande är placerad beror på organisationens struktur men bör generellt vara placerad nära ledning, exempelvis i ledningsstaben. Vanliga organisatoriska placeringar, enligt MSB:s metodstöd är exempelvis:
• Säkerhet
• Kvalitet
• Juridik
I de fall rollen är placerad i en strategisk IT-funktion bör funktionen vara åtskilda från organisationens interna IT-produktion och drift. Anledningen till det är att informationssäkerhetssamordnaren både ska granska och vara kravställande gentemot IT-drift och riskerar annars att brista i opartiskhet.

Organisation

Styrande dokument

Kommunfullmäktige i Säters kommun har antagit en informationssäkerhetspolicy1. Av policyn framgår att kommunen har valt att arbeta med informationssäkerhet som bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Arbetsmetoden uppges i dokumentet hjälpa kommunen att planera, genomföra, följa upp och ständigt förbättra hanteringen av verksamhetsinformation.

I policyn framgår att kommunens mål i informationssäkerhetsarbetet är att informationstillgångarna alltid ska vara konfidentiella, riktiga, spårbara samt tillgängliga. Målet är även att verksamhetsinformationen ska vara autentisk, tillförlitlig, användbar och ha bevarad integritet. Effekten av detta väntas bli:
• att samhället känner förtroende för kommunen gällande informationshantering
• kommunens anställda har alltid tillgång till rätt information
• en förutsättning för långsiktigt bevarande av digital information

Kommunstyrelsen har utifrån policyn upprättat riktlinjer för ledningssystemet2. Riktlinjerna innehåller bland annat funktions-, roll- och processbeskrivningar samt de verktyg som används av funktionerna inom LIS.

Kommunfullmäktige har även antagit en IT-policy3. Policyn är kommunens övergripande styrdokument inom IT-området. Av policyn framgår syfte och mål med kommunens IT-verksamhet samt IT-enhetens uppdrag i dialog med verksamheterna.

Kommunen har även upprättat riktlinjer för behandling av personuppgifter4. Det är respektive nämnd/styrelse i kommunen som är personuppgiftsansvariga och därmed har det yttersta ansvaret för sina personuppgiftsbehandlingar. Riktlinjerna innehåller hur krav på dokumentation ser ut i Säters kommun kring personuppgiftsbehandlingar. Vidare framgår en beskrivning av hur hantering av personuppgifter i kommunen ska se ut i det dagliga arbetet. Samt en beskrivning av vad en personuppgiftsincident är, hur den ska rapporteras och hanteras.

Utöver detta har kommunen riktlinjer för bevarande av digital information5. Riktlinjerna ger övergripande vägledning gällande filformat och systemdokumentation och avser alla typer av information såsom databaser, dokument, bilder, kartor och ritningar. Digitalt bevarande innebär att information exporteras från en myndighets verksamhetssystem till arkivmyndighetens system för långtidsbevarande av digitala handlingar.

Roller och ansvar

Av riktlinjerna för LIS framgår att kommunen har identifierat tre verksamhetsområden som måste kunna samspela med varandra för att skapa ett effektivt informationssäkerhetsarbete. Inom verksamhetsområdena ska det finnas följande funktioner:
• funktion för process – ansvarar för att alla arbetsprocesser i kommunen är identifierade och dokumenterade.
• funktion för verksamhetsinformation – ansvarar för en effektiv och systematisk kontroll av att verksamhetsinformation skapas, tas emot, kvarhålls, används och vid behov avhänds, samtidigt som verksamhetsinformationen bibehåller sitt bevisvärde (vara autentisk, tillförlitlig, användbar och ha bevarad integritet).
• funktion för informationstillgångar – ansvarar för allt som innehåller information och allt som bär på information.

Dessa funktioner har uppdraget att arbeta med informationssäkerhet. Enligt riktlinjerna är funktionerna teoretiska och sträcker sig över organisatoriska gränser. Processfunktionens arbete med processkartläggning och verksamhetskännedom är grunden för att de andra funktionerna ska kunna utföra sin arbetsuppgifter.
Inom processerna finns enligt dokumentet följande roller:

Funktion för process

• Processägare – är förvaltningschef och ansvarar för att ledningssystemet fungerar inom den egna förvaltningen.
• Processförvaltare/verksamhetsutvecklare – utses av förvaltningschef och ansvarar för det praktiska utförandet av processkartläggning.

Funktion för informationstillgångar

• Systemägare – fattar beslut om de egna informationssystemens införande, drift, förvaltning och avveckling. Ansvarar för att systemsäkerhetsanalyser för de egna informationssystemen genomförs.

Systemförvaltare – utses av systemägaren och ansvarar i samverkan med IT-enheten för den dagliga driften och förvaltningen av aktuellt informationssystem.

Funktion för verksamhetsinformation

• Arkivansvarig, registratorer, nämndsekreterare, PUL-handläggare och arkivredogörare.
• Arkivarie, huvudregistrator, nämndsekreterare samt PUL-ombud.

I intervjuer framgår att det finns en förteckning över utsedda systemägare och systemförvaltare. Vi har med anledning av granskningen bett att få ta del av förteckningen, men kommunen har inte återkopplat angående detta. Vidare uppger intervjupersoner att de inte har kännedom om det finns utsedda processförvaltare/verksamhetsutvecklare i organisationen.

Det framgår att ansvarsfördelningen följer kommunallagen där kommunstyrelsen har en ledande, styrande och stödjande roll inom varje funktion.
Utöver detta har Säters kommun rekryterat en säkerhetssamordnare som tillträdde tjänsten under juni 2022. I intervjuer framgår att säkerhetssamordnaren även ska inneha funktionen informationssäkerhetssamordnare och kommer under november att påbörja utbildning inom området.

Säters kommuns valde från juli 2022 att ingå ett samarbetsavtal med Borlänge kommun angående IT-infrastruktur. Det innebär att Säter inte har någon egen IT-avdelning utan köper numer den tjänsten av Borlänge. Borlänges IT-avdelning består av drygt 20 medarbetare som enligt intervjuperson har gedigen kunskap inom IT. Enligt kommunstyrelsens beslut angående samarbetet framgår att teknikerna från Säters kommun har genomgått en verksamhetsövergång och att IT-chefstjänsten görs om till en IT-strategroll. IT-strategen organiseras inom Säters kommun och agerar beställare mot Borlänge kommun. IT-strategen påbörjade sin anställning i oktober 2022.

Intervjupersoner uppger även att det i kommunen finns ett dataskyddsombud. Dataskyddsombudet är en extern tjänst från ett informations- och kunskapsföretag.
Som stöd till nämnder och styrelser i arbetet med personuppgiftsbehandlingar ska det finnas dataskyddshandläggare som utses av förvaltningschef. I intervjuer framgår att utbildningssektorn samt sociala sektorn har utsett dataskyddshandläggare. Antalet handläggare ska återspegla antalet behandlingar, komplexiteten samt skyddsvärdet hos nämndens personuppgiftsbehandlingar.

Det framgår i intervjuer att organisationen kring informationssäkerhet upplevs något ostrukturerad och att det kan vara svårt för nyanställda samt medarbetare längre ut i organisationen att se tydliga gränsdragningar i ansvarsfördelning mellan verksamhet, informationssäkerhet och IT. Dock uppges att det finns en förhoppning att detta till viss del tydliggörs framgent i samband med att IT-frågor hanteras i Borlänge. Intervjupersoner uppger att sektorchefer är medvetna om sitt ansvar i informationssäkerhetsarbetet.

Utöver detta lyfter intervjupersoner att medel har tillsatts för att kunna anställa en säkerhetssamordnare, men det uppges även att det saknas resurser i syfte att kunna bedriva ett tillräckligt förebyggande informationssäkerhetsarbete. Det finns en oro bland de intervjuade att de inte kan genomföra nya uppdrag med befintlig organisation och resurser.

Bedömning

Vi gör bedömningen att kommunen har upprättat styrande och stödjande dokument avseende informationssäkerhet. Med anledning av att flertalet av dokumenten är upprättade 2017 gör vi bedömningen att det finns behov av att se över dessa i syfte att säkerställa att de är aktuella utifrån organisationsförändringar. Vår bedömning bygger på att många dokument innehar funktioner som tidigare organiserats inom IT-avdelningen och som inte längre är aktuella i kommunen. Kommunen har även tillsatt en säkerhetssamordnare och vi ser att kommunen bör beskriva rollens ansvarsområde och funktion i ett styrande dokument.

Vidare gör vi bedömningen att Säters kommun har upprättat tydliga roll- och ansvarsbeskrivningar. Dock gör vi bedömningen att det till viss del saknas kännedom om de roller som beskrivs och det behöver därtill säkerställas att de styrande dokumentens beskrivningar är överensstämmande med nuvarande organisation och förutsättningar i informationssäkerhetsarbetet.

Utöver detta kan styrelsen och samtliga nämnder se över så att antalet dataskyddshandläggare motsvarar behoven i verksamheten.
Då dataskyddsombudet är en extern tjänst bör även beskrivning av dennes roll och ansvar ses över så det överensstämmer med det avtal Säter har med den externa parten.

Analys av behov och risker för informationssäkerhet

Eftersom skadeverkningarna av bristande säkerhet i system även medför risker hos andra informationsägare och verksamheter behöver riskbedömning och kravställningar om åtgärder ske med samsyn och med delaktighet från olika funktioner i kommunen.

Riskhantering och informationsklassning

Enligt riktlinjerna för LIS framgår att Säters kommun ska använda sig av Sveriges kommuner och regioner verktyg Klassa för att sätta rätt skyddsnivå och ta fram en handlingsplan för åtgärder. I intervjuer framgår att det var den tidigare IT-chefen som ansvarade för riskbedömning och informationsklassning av verksamhetssystem. Vidare uppges att det saknas en överblick över vilka system som är klassade och vilka som har behov av detta.

Intervjupersoner uppger även att det saknas en systematisk uppföljning av genomförda klassningar och de åtgärdsplaner som klassningarna och riskbedömningarna har resulterat i. Det uppges även att det saknas rutiner för att genomföra nya klassningar och bedömningar och utifrån det möta nya behov som uppstår, exempelvis i samband uppdateringar i systemen. Det framgår även att det inte alltid genomförs åtgärder utifrån de åtgärder som klassningarna visar ett behov av.
När kommunen upphandlade ett nytt verksamhetssystem genomfördes en klassning av systemet som vilket har lett till ett införande av tvåfaktorsautentisering till det systemet.

Av riktlinjerna för LIS framgår att det är IT-chefen som ansvarar för säkerhet beträffande IT-system med förmåga att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning. Vi har i granskningen efterfrågat hur behörigheter hanteras praktiskt i kommunen, men vi har inte fått detta beskrivet för oss.

Medvetenhet och förståelse

Det framgår i intervjuer att det finns en medvetenhet i kommunen angående informationssäkerhet och uppger att incidenten i Kalix kommun har gjort att frågan har uppmärksammats ytterligare. Det har i organisationen efterfrågats styrning kring informationssäkerhetsarbetet men frågan har inte prioriterats förrän nu. Bland annat uppges att samarbetet med Borlänge behövde formaliseras och upprättas innan informationssäkerhetsarbetet kunde prioriteras.

Kommunen driver just nu en utbildningsinsats som är obligatorisk för samtliga chefer i kommunen. Utbildningen är inte riktad mot informationssäkerhet men omfattar risker med att besöka vissa hemsidor samt att befinna sig i det digitala forumet.

Utöver detta nämns att det tidigare i kommunen har genomförts halvtimmes-utbildningar inom IT-säkerhet. Utbildningen var inte obligatorisk och det saknas uppföljning av hur många som deltog. Vidare uppges att kommunen har för avsikt att genomföra en liknande utbildning, där uppföljning sker på arbetsplatsträffar samt andra medarbetarsammanhang. Kommunen har tidigare även genomfört nano-utbildningar, vilket även uppges vara det som kommunen i dagsläget har behov av.

Intervjupersoner uppger att en sektor ansökte och beviljades att få genomföra en egen utbildningsinsats då det vid tillfället saknades från centralt håll.
Intervjupersoner uppger även att IT-avdelningen i Borlänge kommun har för avsikt att genomföra en nano-utbildning avseende IT-säkerhet, som även kommer att inkludera Säters kommuns anställda.

Bedömning

Vi gör bedömningen att Säters kommun saknar ett systematiskt och ändamålsenligt riskanalys- och informationsklassningsarbete i syfte att uppnå en god informationssäkerhet. Det finns framtagna anvisningar för hur riskbedömning och informationsklassning ska genomföras, men vi gör bedömningen att dessa inte efterlevs vid tiden för granskningen.

Vidare saknas rutiner för att regelbundet ompröva de riskanalyser samt klassningar som genomförts. I syfte att kunna vidta åtgärder utifrån nya risker och behov behöver arbetet ske på ett systematiskt sätt. Vi ser ett behov av att rutiner upprättas samt att ansvaret för detta behöver etableras hos informationsägarna.
Utifrån det som framkommer i granskningen gör vi bedömningen att det finns en medvetenhet i kommunen angående vikten av ett etablerat informationssäkerhetsarbete. Vidare gör vi bedömningen att kommunen bör införa obligatoriska utbildningar för samtliga medarbetare i kommunen inom informationssäkerhet för att säkerställa en tillräcklig kunskap och medvetenhet om risker och informationshantering.

IT-säkerhetsåtgärder

Som tidigare nämnts samverkar Säters kommun med Borlänge kommun avseende drift och IT-infrastruktur. Samarbetet avser den tekniska delen av IT samt användarsupport. IT-avdelningen i Borlänge har inte uppdrag att bistå i kommunens informationssäkerhetsarbete.

Grunden till samverkan ligger i att Säters kommun sett svårigheter i att hålla den kompetens som kommer att krävas framöver i syfte att upprätthålla en tillräcklig IT-säkerhet. Intervjupersoner uppger att Säters IT-säkerhet vid samarbetets start var lägre än Borlänges och att samarbetet kommer innebära ett lyft för Säters kommun. Säter hade tidigare tre personer anställa i form av tekniker som arbetade med IT-frågor. Samarbetet innebär att det numer är ett tjugotal anställda på IT-avdelningen som kommer arbeta med frågorna. Säters servrar har fysiskt flyttats över till Borlänge kommuns datahallar.

Enligt avtalet består uppdraget för Borlänge kommun av att tillhandahålla drift och support av Säters kommuns IT-miljö med följande:
• Säter följer de standarder och rutiner som är inarbetade i Borlänge avseende, leasing av skrivare och PC. Även standarder för hårdvarumodeller (datorer, plattor och telefoner), policys för IT-miljön, infrastruktur kommer att vara likriktade.
• I takt med avtalens löptid sker teknikskifte inom infrastrukturen.
• Drift och övervakning av serverinfrastrukturen.
• Drift och övervakning av nät infrastrukturen.
• Användarsupport.
• Inköp av IT-relaterad utrustning.

Vi får till oss att det finns åtgärder som behöver vidtas i syfte att stärka Säters IT-säkerhet. Dock framgår även att Säter inte har överlämnat någon uppdragsbeskrivning eller någon åtgärds- eller handlingsplan till IT-avdelningen. De åtgärder som vidtas bygger i dagsläget på IT-avdelningens bedömning och kunskap.

Av avtalet framgår att följande kompletterande avtal kommer att tecknas mellan kommunerna:
• SLA8-avtal upprättas omfattande Användarsupport, Serverdrift och nätdrift. Ska uppdateras årligen.
• PUB9-avtal för hela miljön och den information en innehåller.
• Datadelningsavtal.

Intervjupersoner uppger att det i tid för granskningen inte har upprättats något SLA-avtal mellan kommunerna och att IT-avdelningen därför saknar information angående vilken tillgänglighet system ska ha, hur lång tid som högst får passera innan felavhjälpning ska påbörjas, hur snabbt felet ska vara åtgärdat eller hur många gånger ett fel får förekomma under en tidsperiod innan det behöver vidtas åtgärder. Det uppges att IT-avdelningen vid en incident prioriterar arbetet för att upprätta system och information så snabbt som möjligt. Övriga avtal har enligt intervjupersoner upprättats.

Intervjupersoner uppger att då samverkan är nystartad trevar kommunerna fortfarande och det framgår av avtalet att det kan komma att justeras efter förändrade förutsättningar och behov.

Enligt intervjupersoner har IT-avdelningen i Borlänge kommun vidtagit åtgärder för att säkerställa att servrar är skyddade och att det ska finnas tekniska implementationer för att inte information ska gå förlorad eller skadas vid ett intrång eller annan incident. I intervjuer framgår även att IT-avdelningen i Borlänge genomför periodisk sårbarhetsscanning i syfte att detektera intrång. Utöver detta genomförs även penetrationstester i syfte att identifiera nya sårbarheter för att kunna vidta åtgärder.
Vidare uppges att kommunen har behov av stora investeringar i främst uppdatering av teknisk utrustning och att detta kommer att prioriteras ett antal år framöver.

Bedömning

Vi gör bedömningen att Säter kommun har upprättat former i syfte att uppnå en ändamålsenlig IT-säkerhet.
Vidare gör vi bedömningen att det finns behov att upprätta ett servicenivåavtal (SLA) mellan samtliga verksamheter Säters kommun och IT-avdelningen i Borlänge. Detta i syfte att kunna definiera vilka krav som finns för kommunens system och vad de kan förvänta sig av IT-avdelningens leverans.

Incidenthantering

Som tidigare nämnts har Säter kommun upprättat riktlinjer för behandling av personuppgifter. Riktlinjerna beskriver bland annat vad en personuppgiftsincident är samt en beskrivning av processen för att hantera en personuppgiftsincident. Av riktlinjerna framgår att anmälan av en incident ska ske till systemförvaltare alternativt chef. I samband med att en incident har skett ska en checklista följas i arbetet med insamlande av information om incidenten. I intervjuer uppges att rapportering sker till systemförvaltaren som sedan tar anmälan vidare för hantering.

Det framgår att det råder viss otydlighet angående den vidare hanteringen. Intervjupersoner beskriver att senast en incident skedde anmäldes incidenten till säkerhetssamordnaren som i sin tur kontaktade IT-strategen. IT-strategen vände sig då till IT-avdelningen i Borlänge för att undersöka om incidenten hade genererat ett intrång. Intervjupersoner uppger att det saknas kunskap angående om hantering av incidenter sker i enlighet med riktlinjerna för LIS.

Intervjupersoner uppger att det sker anmälningar utifrån dataskyddsförordningen, men att antalet har gått ned. Det uppges även att den här typen av incidenter rapporteras i högre grad än andra informationssäkerhetsincidenter. Vidare uppges att det finns en risk att det saknas kunskap i organisationen om vad en personuppgiftsincident är samt vad en informationssäkerhetsincident är och att risken därför ökar att incidenter inte rapporteras.

Vid eventuella incidenter som upptäcks av IT-avdelningen sker rapportering till kommunikationsansvarige i Säters kommun som ansvarar för att föra informationen vidare inom Säters kommun.

Intervjupersoner uppger att samtliga sektorer under våren 2022 fick i uppdrag att upprätta en kontinuitetsplan i syfte att kunna upprätthålla verksamheten vid en eventuell händelse eller incident och att detta har genomförts.

Bedömning

Vi gör bedömningen att det finns dokumenterade former för hur incidenter ska hanteras. Då organisationen har förändrats sedan riktlinjerna för incidentrapporteringen antogs ser vi ett behov av att riktlinjerna ses över så att de stämmer överens med nuvarande organisation. Vidare gör vi bedömningen att det finns behov av att tydliggöra hur incidenter hanteras i det praktiska arbetet.

Som en del i det förebyggande arbetet rekommenderar vi kommunstyrelsen att säkerställa att anmälda incidenter dokumenteras, analyseras och bedöms på kommunövergripande nivå. Detta kan utgöra underlag för eventuella åtgärder som behöver vidtas i syfte att minimera risken för att incidenten uppstår igen.
Vi ser positivt på att samtliga sektorer har tagit fram kontinuitetsplaner. Utifrån detta rekommenderar vi samtliga sektorer att regelbundet testa dessa i syfte att säkerställa planernas funktion.

Uppföljning, intern kontroll och rapportering

Intern kontroll

I kommunstyrelsens internkontrollplan för 2022 finns kontrollmomentet Att information hanteras på ett säkert sätt. Kontrollmomentet innebär att en enkät skickas ut till alla tillsvidareanställda i syfte att kontrollera kunskapsnivån hos medarbetarna. Kontrollmomentet fanns även med i 2021 års internkontrollplan. Av de 849 tillfrågade var det 249 som besvarade enkäten (29,3 %). Uppföljning av enkäten visar att 80 % anger att de hanterar personuppgifter dagligen i sitt arbete och att 11 % inte vet hur de ska hantera personuppgifter. 61 % av respondenterna uppger att de inte vet hur rutinerna ser ut i det fall en medarbetare tappar bort exempelvis ett USB-minne, en telefon eller en dator.

Internkontrollplanen för 2022 har även följande kontrollmoment:
• Kontroll av behörigheter i personaldiarium och loggar – kontrollmomentet innebär bland annat kontroll av att chefer, registratorer, samt HR har korrekt behörighet. Kontroll av loggar och behörigheter genomförs oberoende av varandra.
• Registerförteckning – kontrollmomentet innebär att samtliga i kommunstyrelsesektorn ska kontrollera sina personuppgiftsbehandlingar
Avseende nämndernas internkontrollplaner är det två nämnder som innehar kontrollmoment som kan kopplas till granskningsområdet. Socialnämnden har följande kontrollmoment:
• Kontroll av dataurval – Kontrollmomentet innebär att se över att dataurvalet i systemet Procapita stämmer överens med medarbetarens anställning och därmed behov av tillgång till sekretessuppgifter.
• Kontroll av giltiga användare – Momentet innebär att se över om en användare som inte har avslutats i Procapita fortfarande är anställd.
Samhällsbyggnadsnämnden har kontrollmomentet registerförteckning, likt kommunstyrelsen.

Uppföljning och rapportering

Det framgår av riktlinjer för LIS att det är kommunchefen som innehar ansvaret att följa upp efterlevnaden av LIS. Av intervjuer framgår att uppföljning av detta har skett av den tidigare IT-chefen i form av muntlig återkoppling på ledningsgruppsträffar. Vidare uppges att det finns behov av att upprätta nya former för detta i samband med att funktionen IT-chef inte längre finns kvar i organisationen. I övrigt sker vid tiden för granskningen ingen samlad uppföljning av det informationssäkerhetsarbete som bedrivs i kommunen.

I intervjuer framgår att det inte finns särskilt upprättade former för återrapportering till kommunstyrelsen och nämnder utifrån perspektivet informationssäkerhet. Återrapportering sker i så fall i samband med rapport från verksamheten.
Vidare lyfts att kommunstyrelsen har fått återkommande återrapportering angående kommunens IT-säkerhet med anledning av samarbetet med Borlänge kommun.

Bedömning

Vi gör bedömningen att det finns upprättade former för att följa upp att LIS efterlevs, men att det i tid för granskningen inte efterlevs. Vi ser därför ett behov av att kommunen upprättar ett uppföljningsarbete i enlighet med riktlinjerna för LIS. Ett etablerat uppföljningsarbete är grunden för ett fortlöpande utvecklingsarbete och därför ett bra underlag för beslut om åtgärder.

Vi gör bedömningen att kommunstyrelsen, socialnämnden samt samhällsbyggnadsnämnden har uppmärksammat risker kopplat till granskningsområdet i internkontrollplanerna. Vi gör bedömningen att övriga nämnder har behov av att komplettera befintliga kontrollmoment med moment kopplat till informationssäkerhet. Detta som ett led i arbetet med att säkerställa att informationssäkerheten upprätthålls och vid brister kan vidta nödvändiga åtgärder.
Av det som uppföljningen av internkontrollplanen för 2021 visar, vill vi ytterligare en gång lyfta fram vikten av att kommunens medarbetare delges utbildning, information och kunskap angående informationssäkerhet.

Slutsats

Vår sammanfattande bedömning utifrån granskningens syfte är kommunstyrelsen och nämnderna inte har en tillräcklig intern styrning och kontroll som säkerställer ett ändamålsenligt och systematiskt arbetssätt med informationssäkerheten i kommunen.

Vi gör bedömningen utifrån att upprättade styrdokument samt roller och ansvar inte stämmer överens med nuvarande organisationsuppbyggnad.
Vidare ser vi ett behov av att riskanalyser och informationsklassningar genomförs i syfte att säkerställa att informationen hanteras på korrekt sätt samt att verksamhetssystemen är tillräckligt säkra för att hantera eventuellt känslig information. Det finns även behov av att upprätta rutiner för omprövning av genomförda riskanalyser och klassningar. Då IT-avdelningen i tid för granskningen saknar ett servicenivåavtal från samtliga nämnder samt styrelsen gör vi bedömningen att det finns behov av att upprätta detta.

Då det i uppföljningen av internkontrollplanen framgår att det finns medarbetare som saknar kunskap om hur de ska hantera personuppgifter samt även rutiner för borttappade utrustning gör vi bedömningen att det finns behov av att genomföra utbildningsinsatser avseende informationssäkerhet.
Vidare gör vi bedömningen att samtliga nämnder i sitt internkontrollarbete beaktar informationssäkerhet och utifrån en riskanalys gör en bedömning om det finns behov av att inkludera kontrollmoment riktat mot detta.

Samtliga nämnder samt styrelsen har behov av att upprätta former för uppföljning av det informationssäkerhetsarbete som bedrivs.

Rekommendationer

Mot bakgrund av vår granskning rekommenderar vi kommunstyrelsen att:

• Se över styrande och stödjande dokument så att de överensstämmer med de organisationsförändringar som skett i kommunen samt se över beskrivningar av roller och ansvar så att de stämmer överens med organisationens nuvarande uppbyggnad.
• Säkerställa att riskanalyser och informationsklassningar av information samt verksamhetssystem genomförs.
• Upprätta former avseende omprövning av genomförda riskanalyser och informationsklassningar.
• Upprätta ett servicenivåavtal (SLA) mellan nämnden och IT-avdelningen.
• Genomföra utbildningsinsatser för samtliga medarbetare i kommunen samt göra dessa obligatoriska, bland annat i syfte att minska risken för att informationssäkerhetsincidenter uppstår.
• Säkerställa att hantering av incidenter sker i enlighet med upprättade styrdokument samt att incidenterna dokumenteras, analyserar och bedöms på kommunövergripande nivå i syfte att kunna vidta nödvändiga åtgärder.
• Ställa krav om uppföljning och återrapportering av kommunens samlade informationssäkerhetsarbete i enlighet med LIS så att beslut kan tas om mål och handlingsplan över åtgärder.

Mot bakgrund av granskningen rekommenderar vi samtliga nämnder att:

• Systematiskt genomföra riskbedömning och informationsklassning av den information som hanteras i system samt utifrån dessa ställa krav om nödvändiga åtgärder.
• Upprätta rutiner avseende omprövning av genomförda riskanalyser och informationsklassningar.
• Säkerställa att uppföljning sker av deltagandet i de utbildningsinsatser som genomförs.
• Upprätta ett servicenivåavtal (SLA) mellan nämnden och IT-avdelningen.
• Beakta informationssäkerhet i internkontrollarbetet och utifrån en riskanalys göra en bedömning om det finns behov av att inkludera kontrollmoment riktat mot detta.
• Upprätta former för årlig uppföljning angående det informationssäkerhetsarbete som sker inom nämndens verksamhetsområde och besluta om nödvändiga åtgärder för att förbättra informationssäkerheten utifrån aktuella risker och behov.