Efter skarp kritik fra Statsrevisorer: Energinet skal få styr på it-sikkerheden i år

15. juli kl. 03:274
Efter skarp kritik fra Statsrevisorer: Energinet skal få styr på it-sikkerheden i år
I kølvandet på Rigsrevisionens 'beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur', der blev udgivet i april, har Energinet fået til opgave at højne it-sikkerhedsniveauet. Illustration: iStockphoto.com.
Klima-, energi- og forsyningsminister Dan Jørgensen forventer at inden årets udgang har Energinet taget hånd om de sikkerhedsmæssige problemer i virksomhedens it-systemer, der blev udpeget af Rigsrevisionen i april.
Artiklen er ældre end 30 dage

I forbindelse med udlicitering af it i 2020 fik Energinet ikke lavet den nødvendige risikovurdering, hvilket førte til »en unødig risiko for kompromittering af forsyningssikkerheden.« 

Sådan lød dommen fra Statsrevisorerne i april, der efter Statsrevisorernes egen karakterskala blev rettet som »skarp kritik«

Og den kritik skal tages alvorligt, mener Klima-, energi- og forsyningsminister, Dan Jørgensen. 

Han forventer, at der i 2022 enten vil være rettet op på de kritiserede forhold eller iværksat de nødvendige tiltag, som videre skal sikre, at der rettes op på forholdene. 

Artiklen fortsætter efter annoncen

Det fremgår af et notat fra den 28. juni, hvor de initiativer, ministeren har iværksat og vil iværksætte for at forbedre it-sikkerheden i kølvandet på kritikken, blev vurderet af Rigsrevisionen.  

Læs også: Rigsrevisionen revser Energinets it-sikkerhed: Gamblede med forsyningssikkerheden
 

Sagen i en nøddeskal

I korte træk gik Statsrevisorernes skarpe kritik af Energinet i april på, at forsyningsvirksomheden ikke havde underrettet Klima-, energi- og forsyningsministeriet rettidigt, da de valgte at udlicitere omkring 90 procent af it-driften, herunder driften af den forsyningskritiske it-infrastruktur, i 2020. Ministeriet havde derfor ikke mulighed for at vurdere, om udlicitering var hensigtsmæssig, før opgaven blev sat i udbud. 

Derudover havde Energinet ifølge Statsrevisorerne hverken lavet den nødvendige risikovurdering forud for eller sideløbende med udliciteringen, hvilket førte til »en unødig risiko for kompromittering af forsyningssikkerheden.«

På samme tid blev der rettet kritik mod ministeriet. Efter at have gennemgået Rigsrevisionens beretning om outsourcingen, konkluderede Statsrevisorerne, at ministeriet ikke havde ført tilstrækkeligt tilsyn med virksomhedens forsyningskritiske it-forhold. 

Statsrevisorerne anbefalede ministeren at lave en redegørelse for Energinets it-sikkerhed i forbindelse med outsourcingen hurtigst muligt, da »Rigsrevisionen både i 2020 og senest i november 2021 har konstateret alvorlige it-sikkerhedsbrister, som Energinet ikke har rettet op på.« 

Energinet erkendte nogle af kritikpunkterne i en opfølgende pressemeddelelse i april, men i samme forbindelse udtalte finansdirektør i Energinet, Torben Thyregod, at udliciteringen faktisk havde ført til bedre it-sikkerhed end tidligere. 

 

Skærpede aftalekrav til forsyningskritisk it

Energinets CIO (Chief Information Officer), Signe Horn Rosted, udtaler i et skriftligt svar til Version2, at udliciteringsaftalen har skelnet mellem den forsyningskritiske og den ikke-forsyningskritiske it-infrastruktur fra starten af udbuddet. 

»Der stilles skærpede aftalekrav til it-driften på det forsyningskritiske område. Den fysiske it-infrastruktur, der understøtter den forsyningskritiske it, er fortsat ejet af Energinet og lokaliseret på Energinets lokationer,« skriver hun. 

De sikkerhedsmæssige tiltag, Energinet er blevet anbefalet at lave gennem interne og eksterne analyser, følges op på og valideres af revisionsfirmaet KPMG. 

»Det gælder både tiltag, der skal implementeres ved Energinet og tiltag, der skal implementeres ved vores sourcing partner, inden den endelige overdragelse af it-driften,« skriver Signe Horn Rosted. 

Godt på vej

Som svar på spørgsmålet om hvorvidt Energinet forventer at kunne implementere de nødvendige it-sikkerhedsmæssige tiltag i løbet af året, skriver Signe Horn Rosted: 

»Energinet har gennem efteråret 2021 og foråret 2022 gennemført en skærpet indsats i forhold til at håndtere en række risici relateret til it-sikkerhed, der er afdækket i forbindelse med udbuddet og i forbindelse med Rigsrevisionens undersøgelse. De gennemførte og iværksatte tiltag dækker både over nye processer, øget kontrol og tekniske løsninger samt langsigtede designforbedringer, når systemerne skal skiftes helt ud.« 

I det skriftlige svar fremgår det desuden, at Energinet har etableret et omfattende nyt it-udviklingsprogram, som i de kommende 2-3 år skal udvikle den fremtidige it-driftsplatform for Energinets forsyningskritiske drift. 

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
19. juli kl. 13:00

Hvordan kan man outsource it i en forsyningskritisk virksomhed? Hvor er CFCS ? Hvor er FE og PET?

At være en offentlig virksomhed er ikke bare noget "vi leger" og nej, offentlige virksomheder skal ikke opføre sig som private virksomheder. Der er en grund til at vi har offentlige virksomheder, netop at de vurderes at være kritiske for den samlede infrastruktur eksempelvis og derfor ikke skal drives på markedsvilkår.

Hvornår går det op for politikere og ikke mindst ledende embedsmænd og topfolk i det offentlige at digitalisering og udlicitering er et tveægget sværd, som man ikke bare skal tage i brug fordi det lyder fancy og smart og man mener man kan spare nogle penge?

Krigen i Ukraine er et fantastisk godt eksempel på hvordan en ændring i verdenssituationen kan påvirke trusselsbilledet og gøre Danmarks infrastruktur og ekstreme digitalisering utroligt sårbart netop fordi man ikke har taget sine forholdsregler og forholdt sig til værst tænkelige scenario, men bare har kørt derud i påtaget uvidenhed, dækket under at "Danmark bare er så smarte og på forkant fordi vi digitaliserer og er dybt naive".

Det er skræmmende netop fordi at når alt kommer til alt, så er årsagen til amatørtankegangen it sikkerhedsmæssigt og på andre fronter, alene fordi der sidder en flok ledere, som ønsker at være smarte i en fart og vise dem selv frem, istedet for at de tager et reelt ansvar og forholder sig til de reelle trusler som har eksisteret i rigtigt mange år, men som bare ikke giver stjerner fordi man jo så er "negativ", " dyr i drift" og " tror på spøgelser".

Forsvarets Efterretningstjeneste (FE) har i lang tid advaret mod truslen fra Rusland og Kina og deres hybridkrig i form af hacking med mere, men også mere generelt mod truslen mod vores infrastruktur ( IT, forsyning med flere) på grund af digitalisering.

Kom nu ind i kampen og hellere bruge flere penge på at sikre tingene inhouse end at infrastrukturen går ad h. til fordi man "sparer" en håndøre eller to.

Det er det som vi bl.a. betaler skat for! Sikring!

3
18. juli kl. 13:35

Hvis en almindeligt ansat laver en kæmpe sikkerhedsbrøler, så falder der brænde ned, og vedkommende mister sin indtægt. Når højt betalte chefer laver brølere, som kan koste landet dyrt, så udtales der kritik, og nogen får en bonus, for at holde pressen hen, og måske endda i uvidenhed. Sker der en skandale, som kan koste ministeren en påtale, så får chefen 5 års løn, og fritstilles. Her er skaden sket, alle oplysninger om landets infrastruktur ligger frit tilgængeligt, for udenlandske konkurrenter, men ingen drages til ansvar, fordi skidtet stadig kører, og det skal cheferne naturligvis belønnes for.

2
15. juli kl. 19:01

Tilsyneladende ikke. Og så er KPMG indsat som IT sikkerhedseksperter, håbløst. Endnu et skræmmeeksempel på DJØF'isering. Er alle Energinets IT-ingeniører udskiftet med jurister og økonomer? Hvilken faglig baggrund og erhvervserfaring har CIO'en mon?

1
15. juli kl. 13:57

Er der ikke en voksen til stede i ledelsen ?