Säkerhetsgranskningen gjordes nyligen av ett konsultföretag på uppdrag av kommunens revisorer. Syftet var att upptäcka sårbarheter i kommunens nätverk som skulle kunna utnyttjas för intrång av en obehörig aktör. En vanlig ingång är de delar av nätverket som har koppling externt, till exempel via en hemsida.
Tillvägagångssättet inkluderade testmetoder som simulerar en attack från en utomstående aktör.
– Komplexiteten och digitaliseringen ökar i organisationen så det är positivt att man gör en ny analys. Vi konstaterar att det helt klart finns förbättringsområden som vi ska se över nu, säger kommunchef Peter Ingesson.
Resultatet visade på sårbarheter som kan innebära en risk gentemot Motala kommuns informationstillgångar. Bland annat noterade man att obehöriga skulle kunna få åtkomst till höga behörigheter i interna verktyg och applikationer. Vidare såg man en risk att skadlig kod eller illvilliga aktörer får åtkomst till interna nätverk och därmed information om anställda och medborgare.
– Dels kan man förstöra för oss genom att gå in i våra system, framför allt på vår webb, och styra skadlig kod som kan belasta våra system. Dels kan information om person komma ut på ett sätt som är otillbörligt, säger kommunchefen.
Han fortsätter:
– Men risken för att information kring våra medborgare ska hamna i felaktiga händer uppfattar jag ändå som liten.
Enligt rapporten är ett övergripande arbete med IT-säkerhet nödvändigt för att minska riskerna. Grundorsakerna uppges vara bland annat felaktiga säkerhetskonfigurationer, osäker programmering och bristfällig hantering av säkerhetsuppdateringar. Vid granskningen noterades bland annat gamla och därmed sårbara versioner av mjukvaror.
– Sedan ett och ett halvt år tillbaka har vår IT-enhet ansvar för all IT-utrustning. Tidigare har organisationen varit decentraliserad och det har inneburit att vi har lite olika ålder på utrustning vilket ibland inbjuder till en del problem.
Nu ska de eventuella kryphålen täppas till.
– Tanken är att vi samlar oss efter semestrarna och tittar på en handlingsplan kopplad till den nya styrgrupp som vi har satt samman för digitalisering, där vi får följa upp bland annat hur vi jobbar med det här området. Hur vi sedan klär det i faktiska åtgärder får vi återkomma till, säger Peter Ingesson.