I november förra året fick revisions- och konsultföretaget PWC i uppdrag att granska det externa intrångsskyddet hos Flens kommun. Intrångsskydd är ett skydd mot olika typer av angrepp online. Nu har en rapport som redovisar resultatet färdigställts.
I rapporten framgår det att PWC bedömer att IT-säkerheten inte är tillräcklig för att reducera risker för obehörigt intrång.
Flens kommuns IT-miljö som exponeras externt bedömer de som "något under medel" jämfört med likvärdiga kommuner.
‒Jag ser allvarligt på det här. Vi tycker att revisionsrapporter är bra och de ger oss möjligheten att bli bättre. Rapporten synliggör de utmaningar som vi har och det ger oss möjlighet att ta till åtgärder. Vi har också gjort egna tester som vi kommer att jämföra med deras, säger kommunchefen Håkan Bergsten.
Uppdraget att granska IT-säkerheten kom från kommunens revisorer.
Under granskningen har man utgått från fyra kontrollfrågor, och på samtliga frågor har PWC bedömt att Flens kommun inte uppfyller ett tillfredsställande resultat.
PWC har bland annat gjort externa intrångstest, vars resultat är sekretessbelagda. Därutöver kom de fram till att en av kommunens webbplatser har sårbarheter som skulle kunna utnyttjas vid en attack. De bedömer att en eventuell attack inte skulle upptäckas på ett ändamålsenligt sätt och att säkerheten när det kommer till intrång av externa aktörer inte är tillräcklig.
PWC har också gjort studier av dokument som är relevanta för frågan om IT-säkerheten och har bedömt att det inte finns styrande dokument, som en policy eller riktlinjer för IT-säkerhet, som uppdateras löpande. I rapporten framgår det att en mängd dokument saknas eller inte har skickats till PWC.
‒Om de saknas eller om de inte har kommit dem tillhanda kan jag inte svara på nu. Finns det brister tar vi tag i det direkt, vi kommer att göra en handlingsplan och där kommer vi att se över exakt vilka dokument det gäller, säger Håkan Bergsten.
PWC rekommenderar Flens kommun att göra en plan för att se till att all dokumentation som behövs finns, och att de gör en intern sårbarhetsgranskning av IT-säkerheten.
Enligt Håkan Bergsten kommer kommunen att arbeta mer intensivt med att minska riskerna och för att ta fram en handlingsplan från och med nästa vecka.
‒Vi ska analysera rapporten och kommer ha ett möte med PWC och IT för att få en djupare förståelse. Vi kommer att ta tag i det här direkt och några åtgärder är redan vidtagna.