En ny rapport fra revisjonsselskapet Kom Rev Trøndelag ble onsdag lagt frem for formannskapet i Sømna. Revisjonsselskapet har på oppdrag av kontrollutvalget i kommunen, gjennomgått informasjonssikkerheten i kommunen. Prosjektet er gjennomført i perioden februar til oktober 2017.  Revisjonsteamet har bestått av prosjektleder Unni Romstad, prosjektmedarbeidere Rikke Haave og Margrete Haugum og kvalitetssikrer Marte Bjørnelv.

Signaler på åpent

"Revisor har signaler på at det er behov for å gjennomgå hvem som har tilgang til hvilke mapper innenfor lege, psykiatri og helsestasjon", står det i rapporten. Sømnarådmann Øystein Johannessen sier til BAnett at han ikke vet sikkert hva revisor her sikter til.

- Legekontoret er ikke del av Sømna kommunes IT-nett.  Vi har tre forskjellige nett som driftes, hvor legesenteret og Helgeland rehabilitering er del av nasjonalt helsenett, og NAV har sitt eget.  Det er krav til skjerming av pasientmapper. Jeg kjenner ikke til noen meldte avvik når det gjelder mapper innen lege, psykiatri eller helsestasjon. Hva som kan ligge i dette revisorutsagnet må jeg sjekke med enhetsleder. Det vises i revisorrapporten til et møte tilbake til august 2016, sier sømnarådmann Øystein Johannessen om dette. August 2016 var et halvt år før han selv tiltrådte som rådmann.

Rapport viser til internt møte

Revisorrapporten viser til  et referat fra statusmøte mellom driftsselskapet IT Partner og kommunen 23.08.2016.

"Revisor har fått tilgang til to møtereferat. Av referatet fra 23.08.2016 framgår det at månedlig systemsjekk er innført . Referatet viser også at det er planer om at IT Partner skal ta ansvaret for å vedlikeholde forretningskritiske avtaler og at lisensiering er i henhold til lovverket. Dette omfatter Microsoft, VMware (backup), Veeam (antivirus), Trend AV, Fortigate (brannmur) og Adobe. Det refereres også til en sak om behovet for å gjennomgå tilgangen til felles mapper for lege, psykiatri og helsestasjon fordi man har signaler på at dette ligger åpent i dag", står det i rapporten "Forvaltningsrevisjon IKT, kvalitetskrav, informasjonssikkerhet" datert 22.november 2017.  Fra samme møte er det også referert i tilknytning til disse mappene, at det er lite fokus på sikring av personopplysninger og sensitive data.

Revisor fastslår i novemberrapportens konklusjon "at det mangler retningslinjer for hvem som skal ha tilgang til hva, og det er ikke dokumentert sikkerhetstiltak".  Revisorrapporten ligger som sak 21/18 her.

Fikk anbefalinger Formannskapet i Sømna fikk fremlagt revisjonsrapporten onsdag. Fra venstre: representanten Turid Strømsnes Kvaløy(Ap), varaordfører Gunder Strømberg, formannskapssekretær Gro Steen, ordfører Andrine Solli Oppegaard, rådmann Øystein Johannessen, Sp-representantene Leif Edvardsen og Wenche Fjerdingøy.

Bekymring for sikkerheten

Det var i  forbindelse med overordnet analyse og Plan for forvaltningsrevisjon ble IKT avdekket som et risikoområde i Sømna kommune. Det ble pekt på at kommunen ikke har den IKT-teknologien den trenger, og at systemet er sårbart. Fra enkelte enheter ble det uttrykt bekymring for sikkerheten i systemet.   Problemstillingen handler om i hvor stor grad har Sømna kommune sikret et godt styringssystem for IT gjennom å ivareta utvalgte styrings- og kontrollmål i anerkjent kvalitetsstandard (COBIT).

Den foreliggende revisjonsrapporten, bygger på informasjon innhentet gjennom intervju med rådmann og IT tekniker, spørreundersøkelse til ansatte i Sømna kommune og dokumentgjennomgang. Spørreundersøkelsen ble sendt til 133 personer, hvorav 62 svarte. Dette ga en total svarprosent på 46,6 prosent. Av disse 62 er det 54 personer som oppgir at de bruker kommunens IKT-system i jobben.

I revisors intervju med rådmann og IT-tekniker,  går det fram at det overordnede ansvaret for IKT-området ligger hos rådmannen, og dette er ikke delegert videre. Kommunen har ansatt en IT-tekniker til daglig brukerstøtte. Sømna kommune avslo å være med på totalavtalen mellom Brønnøy kommune og leverandøren Evry, men har fortsatt en begrenset avtale med selskapet. I tillegg undertegnet kommunen i desember 2015 en avtale med IT Partner Helgeland AS om driftsteknisk støtte. Avtalen gjelder fra 01.12.15, med en varighet på seks måneder med automatisk fornyelse for seks måneder om gangen.  IT-Partner uttaler til revisor, at IKT-systemet i kommunen nå er betraktelig bedre enn da de begynte å arbeide med det.

"Sømna kommune har konfigurert nettverket med to brannmurer; en ytre og en indre. Sømna kommune benytter nettverkssegmentering, og sensitive data ligger i sikker sone bak en egen brannmur. Det tekniske og nettverk er bra i orden, men det mangler litt på rutiner", heter det i rapporten.

Leder avgjør hvem som har tilgang

Ansattes tilganger i IKT-systemet er styrt av AD (Active Directory) og leder bestemmer hva den enkelte skal ha tilgang til. I AD finnes oversikt over hvem som har tilganger til hva. Tilgangen er også definert av hvor den enkelte bruker fysisk er plassert. Eksempelvis er det slik at helse- og omsorgssjefen ikke kan sitte på kommunehuset og logge inn på program som tilhører sykehjemmet. Rådmannen har tilgang på alt i administrasjonsnettet.

"Sikring av konfidensialitet betyr at det skal være etablert tiltak som hindrer uautorisert personell tilgang til sensitiv/gradert informasjon og at det finnes et system for tilgangskontroll som gir den enkelte bruker tilgang til bare det vedkommende har bruk for i sin stilling,  samt at tilganger fjernes når brukere slutter. Sikring av konfidensialitet omfatter også tildeling av passord og rutiner for endring av passord", fastslår rapporten.

I revisjonsselskapets spørreundersøkelse i kommunen,  oppgir 89 prosent at de er helt enig, enig eller delvis enig i at de bare har tilgang til programmer som er nødvendig for den stillingen de har. I intervju sier IT-tekniker at en logg på serveren viser dataaktiviteten, men at ingen sjekker denne. Noe aktivitet vil også kunne vises på brannmurene. IT-tekniker oppgir at det ikke har blitt registeret uønsket atferd på kommunens datasystemer.

Alle ansatte skal ha signert taushetserklæring. Det er 82 prosent av ansatte som oppgir at de har signert avtale om taushetsplikt. Sikkerhet vurderes å være mer personavhengig enn avhengig av passord.

"50 prosent av lederne er enig eller delvis enig at de som slutter blir slettet som bruker av IKTsystemet innen 14 dager, mens 36 prosent ikke har ansvar for det. I praksis overholdes ikke rutinen med å deaktivere brukere innen et bestemt tidspunkt etter at de har sluttet", heter det i rapporten.

Må etablere rutiner

Revisor gir Sømna kommune følgende fire anbefalinger:

* Kommunen bør sikre at digitaliseringsstrategi inneholder det som forventes av en IKT-strategi som viser overordnede mål og veivalg samt konkrete handlingsplaner, herunder en sikkerhetsnorm/strategi og en plan for investering og utskifting av maskinvare.

* Kommunen bør tydeliggjøre og dokumentere ansvar og myndighet innenfor IKT-området og herunder etablere rutiner for hvem som skal ta tilgang til hva.

* Kommunen bør utarbeid en internkontroll på IKT-området.

* Kommunen bør oppdatere ROS-analysen."Kommunen bør tydeliggjøre og dokumentere ansvar og myndighet innenfor IKT-området og herunder etablere rutiner for hvem som skal ta tilgang til hva", heter det blant annet Kom Rev Trøndelags anbefalinger etter revisjonsgjennomgangen.

Roste revisors rapport

I formannskapet uttalte Johannessen seg positivt om Kom Rev Trøndelag gjennomgang.

- Jeg synes vi har fått en rapport som setter fingeren på vesentlige forhold. Vi har hatt en god dialog med revisjonen om innhold og metode. Dette er en god rapport, og vi skal med glede svare kontrollutvalget, sa Johannessen.

Formannskapet i Sømna behandlet i møte 13.09.2017 plan for digitalisering av kommunen. Av rådmannens plan for digitalisering går det fram at innholdet i en digitaliseringsstrategi skal ta utgangspunkt i behovet for å identifisere områder hvor man skal satse på digitalisering framfor å gå veien om en egen digitaliseringsstrategi. Rådmannen peker videre på at dette er en framgangsmåte som er tilpasset kommunens størrelse, kapasitet, kompetanse og omstillingsbehov. Det pekes også i saksframlegget på at informasjonssikkerhet og behandling av persondata må ivaretas innenfor satsingen av digitalisering.

- Kommunen har sjekket

Rådmann Øystein Johannessen har i etterkant av at denne saken ble publisert kontaktet BAnett. Han presierer at forvaltningsrevisjonsrapporten nylig ble publisert, men at undersøkelsene i rapporten daterer seg fra august 2016.

- De er således utdaterte. Kommunen har i samarbeid med vår leverandør sjekket sikkerheten til pasientdata i Sømna kommune. Tilgangen til pasientdata er rollestyrt. Det betyr at kun ansatte ved legesenteret har tilgang til dem. Lagringen av data holder et forsvarlig sikkerhetsnivå. Dette kan kommunen dokumentere. Både pasienter og deres pårørende kan føle seg trygge på at datane forvaltes på en trygg og sikker måte, skriver Johannessen i en epost til avisen.