Hur jobbar Hudiksvalls kommun med IT-säkerhet? Det gav kommunens revisorer PwC i uppdrag att granska. Nu är rapporten klar och visar att kommunens IT-säkerhet är i nivå med andra kommuner av motsvarande storlek men pekar också på brister inom bland annat övervakning av incidenter och rutiner kring lösenord.
- Det här är problem som de flesta kommuner brottas med och PwC:s granskning är en välkommen hjälp i vårt IT-säkerhetsarbete och ett stöd i de prioriteringar som behöver göras, säger IT-strateg Henrik Adestedt. Vi har redan tillsammans med Fiberstaden vidtagit åtgärder kring de mest allvarliga bristerna och nu fortsätter vi vårt arbete för att ytterligare höja kvalitén.
I utredningsarbetet har PwC gjort intrångstester som bland annat visar sårbarheter kring lösenordsrutiner. Kommunen tittar nu på lösningar, det kan till exempel handla om begränsning av användarens möjlighet att välja lösenord. I vissa fall kan det också bli aktuellt med en utökning av en mer avancerade inloggningsteknik, exempelvis kortinloggning som vissa verksamheter använder redan idag.
I rapporten ingår också en dokumentationsgranskning som visar att rutiner och dokumentation kring kommunens IT-verksamhet ”är i god ordning och föredömlig för andra kommuner av motsvarande storlek”.
Rutiner och riskmedvetenhet avgörande
Granskningen visar att kommunen behöver göra en avvägning mellan tillgänglighet till system för anställda och politiker kontra säkerheten in i systemen. Samma gäller också tillgängligheten till kommunens nätverk och IT-resurser.
- Kommunen är en stor och komplex verksamhet vilket idag behöver en stor mängd olika system och tekniker för att klara sina uppdrag, säger Henrik Adestedt. Vi jobbar med allt från ekonomi, personal, vård, skola till väghållning, renhållning och kultur. Alla våra verksamheter kräver idag IT-stöd, men fler system ger också en ökad sårbarhet.
Kommunen jobbar för att öka medarbetares och politikers medvetenhet om risker och sårbarheter som dagens IT-stöd innebär.
- Oavsett mängden avancerade säkerhetssystem är det ändå användarnas rutiner och riskmedvetenhet avgörande för IT-säkerheten, säger Henrik Adestedt.
PwC lyfter fram risker och svårigheter med att upptäcka och urskilja otillbörlig användning av vår IT-miljö.
- Detta kommer vi att fortsätta analysera för att hitta lämpliga åtgärder på rätt nivå, säger Henrik Adestedt. I vissa fall kan det till exempel bli aktuellt med tvåfaktorsinloggning för att säkerställa att användaren verkligen är rätt person.
Avvägning mellan tillgänglighet och säkerhet
PwC:s granskning belyser den avvägning som måste göras mellan god tillgänglighet till IT-stöd för ett effektivt arbetssätt ställt mot säkerhetsrisken.
-Vi vill och ska vara en öppen, demokratisk och möjliggörande kommun, säger Henrik Adestedt. Biblioteken är ett exempel på en verksamhet med hög tillgänglighet till lokalerna samtidigt som man har tillgång till många IT-system. Det medför också höga krav på IT-säkerhet, bra rutiner och riskmedvetenhet.