Er Danmarks kritiske it-systemer ved at bryde sammen? Nej, men ...

Illustration: REDPIXEL.PL/Bigstock
157 kritiske it-systemer i staten mangler dokumentation, kører på en forældet platform eller har sikkerhedsmangler. Men for 135 af systemerne er der allerede tiltag i gang.

Der er 18 it-systemer, der er kritiske for driften af samfundet, som har mangler på både sikkerhed, dokumentation og kører på en forældet platform. Det er det mest alvorlige tal fra Regeringens kasseeftersyn på it-området, som netop er offentliggjort.

Rapporten sætter ikke navn eller ministerium på disse 18 systemer og går heller ikke i detaljer med problemerne ved systemerne.

Læs også: Finansministeriet: Hver tredje statslige it-system risikerer nedbrud og hackerangreb

Umiddelbart burde disse 18 systemer få en alarmklokke til at ringe, og det lyder også alvorligt, at omkring en tredjedel af statens kritiske it-systemer betegnes som værende i en 'utilstrækkelig systemtilstand'. Helt præcist er det 157 ud af 428 systemer. Men for 135 af de 157 systemer er der ifølge de ansvarlige myndigheder igangsat tiltag til at forbedre situationen.

Det er dog ikke nærmere specificeret, hvad tiltaget går ud på, hvad deadline er for at få rettet op på utilstrækkeligheden eller hvor stor vægt man tillægger indsatsen.

Her er det imidlertid også værd at bemærke, at for 29 kritiske systemer var svaret 'ved ikke' og for yderligere 7 systemer foreligger der ikke et svar i undersøgelsen. En ting er at have et system med kendte mangler, noget andet er at have et system, hvor man ikke er klar over, hvorvidt der er problemer.

Det skal også bemærkes, at vurderingerne af systemernes tilstand kommer fra en spørgeskemaundersøgelse, som Digitaliseringsstyrelsen har udført i efteråret 2015 med opfølgende interviews i 2016. Der er altså tale om de offentlige myndigheders egen vurdering af systemernes tilstand.

Undersøgelsen er udarbejdet ud fra tre parametre. Hvis et system vurderes til at have problemer på blot én parameter, bliver det placeret i kategorien 'utilstrækkelig systemtilstand'. De tre parametre er:

Software eller hardware: Er it-systemet baseret på software og/eller hardware, der ikke længere vedligeholdes og supporteres, og/eller som kun de færreste leverandører kan betjene og vedligeholde?

Dokumentation: Er der kun fragmenteret eller ingen dokumentation af it-systemet?

Sikkerhed: Bør it-systemets sikkerhedsmæssige status opgraderes?

Der er som nævnt 18 systemer, hvor myndigheden har svaret ja til alle tre. Derudover er der 53 systemer, hvor der er svaret ja til to, og altså 86 systemer, hvor der er svaret ja til én parameter.

Der er cirka lige mange, som har svaret ja til, at systemet kører på en forældet platform (93), som til at systemet mangler dokumentation (94). For 59 systemer vurderer myndighederne, at sikkerheden bør opgraderes.

Illustration: Finansministeriet

Baggrunden for at sidestille disse tre parametre er, at undersøgelsen ikke alene skal se på eksempelvis truslen om hackerangreb, men helt generelt på risikoen for, at systemerne går ned med alvorlige forstyrrelser af den offentlige sektors arbejde til følge. Formålet med undersøgelsen er at danne grundlag for at udarbejde en statslig it-strategi.

Minister for offentlig innovation Sophie Løhde har udpeget 'sikker drift af statens kritiske it-systemer' som det ene af tre ben i arbejdet med at formulere denne it-strategi. Her synes undersøgelsen at underbygge et behov for en indsats.

Men tilbagemeldingen fra myndighederne i undersøgelsen er, at der for 135 ud af de 157 kritiske it-systemer, hvor der er problemer, faktisk allerede er iværksat tiltag, der skal forbedre den utilstrækkelige systemtilstand.

Dermed ikke sagt, at problemerne vil løse sig selv, inden Sophie Løhde er klar med en strategi, men det er dog værd at bide mærke i, at problemerne ikke kommer som en overraskelse for myndighederne.

I rapporten lyder det da også:

'... at der blandt myndighederne er en klar bevidsthed om udfordringernes karakter, og at myndighederne i mange tilfælde gør en aktiv indsats for at imødekomme udfordringen. Der er dog er forskel på, hvor konkrete de igangsatte tiltag er. Enkelte myndigheder har siden undersøgelsens gennemførelse afsluttet tiltag, der har tilvejebragt en tilstrækkelig systemtilstand. Andre myndigheder har lagt en overordnet strategi for, hvordan systemtilstanden kan løftes, og var – på interviewtidspunktet - fortsat ved at planlægge, hvordan tiltagene skulle gennemføres. Samtidig er der blandt de kritiske it-systemer med en utilstrækkelig systemtilstand forskel på, hvor omfattende tiltag der er nødvendige for at udbedre it-systemets tilstand.'

En væsentlig fodnote til undersøgelsen er, at det estimeres, at staten har cirka 4.200 it-systemer. Det er blot 428 af disse systemer, som vurderes til at samfunds- eller forretningskritiske. Det er kun for disse systemer, vi kender systemtilstanden. Hvorvidt de mindre kritiske systemer har brug for alvorlige forbedringer, ved vi altså ikke.

Et andet ben i udarbejdelsen af en ny statslig it-strategi er nemlig bedre styring med offentlige it-projekter, hvor det er mest alvorligt, hvis et projekt, der involverer et kritisk system, løber af sporet. Men fra et økonomisk perspektiv kan de mange ikke-kritiske systemer også blive en belastning, hvis der er behov for akutte udskiftninger, og disse projekter viser sig at volde problemer.

Ifølge rapporten er der aktuelt 875 større og mindre it-projekter i staten. Heraf har 173 projekter et budget på mere end fem millioner kroner, og samlet er budgettet for de 173 projekter cirka 5,8 milliarder kroner. Der er lige nu 19 it-projekter med budgetter på mere end 50 millioner kroner.

Ud af de 173 it-projekter med budgetter på mindst fem millioner kroner, er der 40, som stadig er i planlægningsfasen.

Illustration: Finansministeriet

Af de projekter, der er i gang lige nu, er der 10 projekter, hvor risikoen for projektet vurderes til at være høj. For 89 af projekterne vurderes risikoen som lav.

Igen er det myndighedernes egen vurdering af projekterne. Det skal dog i dén forbindelse bemærkes, at et projekt som eksempelvis Skats EFI, der gik galt, havde en høj risikovurdering.

Sophie Løhde skriver i forordet til rapporten:

'... Samtidig ser vi stadig flere store, dyre og meget komplekse it-projekter, hvis gennemførsel er vigtige for at sikre en velfungerende og moderne offentlig sektor. Selvom vi i staten er blevet bedre til at arbejde med it-udvikling, ser vi fortsat alt for mange sager, som udspringer af problemer med offentlig it. Samtidig viser resultaterne fra Regeringens kasseeftersyn af it-området, at der er behov for et langt stærkere fokus på sikker drift af it-systemer. Derfor ser vi nu en stor udfordring med mange kritiske it-systemer, som er i dårlig stand. Hvis vi skal følge med udviklingen, bliver vi nødt til grundlæggende at forandre og forny den måde, vi arbejder med it på. Det tager tid at etablere nye styringsmekanismer og opbygge de rette kompetencer, og det tager tid at få bragt alle it-systemer i orden.'

Ministeren for offentlig innovation efterlyser altså en grundlæggende forandring af statens it-drift, og det omfatter både offentlige it-projekter og drift- og vedligeholdelse af systemerne.

Hvordan det konkret skal ske, får vi først svar på, når it-strategien er klar. På baggrund af den aktuelle rapport ser det dog ud til især komme til at fokusere på de store it-projekter med høj risikoprofil, samt de kritiske it-systemer, som er truet af forældede platforme eller sikkerhedsproblemer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 John Foley

Tanken er såmænd god nok, idet den i realiteten sætter spørgsmålstegn ved prioritering af de penge, der afsættes til forsvaret. Måske burde flere af ressourcerne afsættes til at beskyttelse af samfundsvigtig kritisk infrastruktur og cyberangreb. Det er jo her de nye trusler også findes, set i lyset af den hastighed, hvormed samfundet og befolkningen digitaliseres. Jeg tror i øvrigt ikke, at der er brug for så mange yderligere ressourcer. Mange offentlige instanser får i forvejen rigtigt mange penge fra statskassen. Der er mere brug for en effektiv, samordnet og koordineret indsats , hvor det offentlige og private samt forskningsverdenen arbejder sammen, hvilket desværre ikke sker i Danmark.

  • 2
  • 1
#4 Michael Christensen

... så debatterer vi sikkerhed på et noget andet plan. Samfundskritisk IT er vigtigt, men måske mindre vigtigt, skulle vi blive angrebet, eller samfundet sat under et militært pres. Du kan jo se udviklingen, hvor "små grønne mænd" tager magten, hvis man ikke er forberedt på det. Netop qua dette har NATO oprettet en snubletråd i form af mindre NATO styrker i de baltiske lande og i Polen, der skal trigge §5 i atlantpagten, skulle et sådant pres blive lagt her. Det har ikke som sådant noget med IT sikkerhed at gøre, men problemet er næppe enten eller.

  • 1
  • 0
#5 Ditlev Petersen

... så debatterer vi sikkerhed på et noget andet plan. Samfundskritisk IT er vigtigt, men måske mindre vigtigt, skulle vi blive angrebet, eller samfundet sat under et militært pres.

Nej, det er skam på samme plan. "Hjortens" krav om flere kanoner blev i hvert fald begrundet med at russiske hackere stod klar til at smadre de danske sygehuses it-systemer. Hvis vi nu sparede de kanoner og sikrede de vigtigste systemer over for såvel de formodede putinske hackere som alle andre onde mænd og drenge, så kom vi måske slet ikke i den situation, at vi var nødt til at bombe Kaliningrad og starte en verdenskrig. Uden på noget tidspunkt at være helt sikre på, hvem de formastelige var og hvem de agerede for. For ideen om at "Putins panser pløjer Polen" osv. osv. er altså mindre ædruelig. Så stor en idiot er Putin ikke.

  • 3
  • 0
Log ind eller Opret konto for at kommentere