Stora brister i Kalmar kommuns IT-säkerhet

Kalmar Artikeln publicerades
Revisorernas iakttagelser är sekretessbelagda.
Revisorernas iakttagelser är sekretessbelagda.

Kalmar kommuns IT-säkerhet är inte tillräcklig. Tekniska tester visar brister både vad gäller förmåga att stå emot angrepp och att upptäcka och agera. Det framgår av revisorernas granskning.

Kalmar

– Vi tar det här på största allvar och vi ska se över hela organisation, säger kommundirektören Annette Andersson.

Det är revisionsbyrån Pwc som gjort granskningen på uppdrag av kommunens revisorer. Pwc:s sammanfattande bedömning är att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillräcklig och tillfredsställande för att reducera risker för obehörigt intrång till en acceptabel nivå.

Det saknas en övergripande kontinuitetsplan. Det saknas en kris- och katastrofplan. Det saknas en IT-säkerhetschef.

Stora delar av rapporten omfattas av sekretess.

Pwc har lämnat flera rekommendationer. Några av dem är hemligstämplade. De övriga är att kommunen ska se över lösenordspolicyn, upprätta en plan för att öka förmågan att hantera en eventuell kris samt genomföra årlig revidering av dokumentationen för att säkerställa att riktlinjer och ansvarsfördelningar är tydliga och uppdaterade.

Informationssäkerhetspolicyn är inte reviderad sedan 2017, trots att det i verksamhetsplanen står att styrande dokument ska revideras varje år. Vidare har dokument gällande incidenthantering inte uppdaterats sedan 2015.

De tekniska tester som Pwc genomfört visar på brister i kommunens IT-säkerhet.

Några av rekommendationerna är sekretessbelagda.
Några av rekommendationerna är sekretessbelagda.

Pwc har använt ett koncept, Cybersecurity assessment. Detta koncept innebär genomgång av systemuppsättning och tekniska tester. Genom interna och externa penetrationstest gås kommunens tekniska miljö igenom och eventuellt brister identiferas. Testerna görs både från insidan och från utsidan.

Delar av rapporten omfattas, enligt kommunen av sekretess.

”Kommunen anser att möjligheterna för kommunen att förebygga och hantera fredstida kriser motverkas om vissa av uppgifterna i rapporten lämnas ut.”

Revisorerna har granskat om det finns verktyg och processer för att upptäcka en eventuell attack, och om de är implementerade och fungerar på ett tillfredsställande sätt.

Vilka iakttagelser revisorerna är gjort är belagt med sekretess.

Vad gäller IT-säkerheten uppges IT-chefen vara den ytterst ansvariga. Pwc noterar att det saknas en IT-säkerhetschef.

Bakgrunden till granskningen är att revisorerna i sin riskanalys för 2019 bedömt att det finns en risk att kommunstyrelsen inte har säkerställt att den tekniska IT-säkerheten är tillfredsställande gällande obehörigt intrång.

Vi har fått en dragning över vilka redskap vi behöver för att förebygga IT-attacker. Det är ett antal åtgärder vi behöver göra. En del kan vi göra direkt, som lösenord, säger Annette Andersson.