Én gang til: Statsrevisorerne med sønderlemmende kritik af it-beredskabet i skattevæsenet

17. september 2021 kl. 16:0410
Én gang til: Statsrevisorerne med sønderlemmende kritik af it-beredskabet i skattevæsenet
Illustration: SKAT.
En undersøgelse af Skatteministeriets it-beredskab er gruopvækkende læsning. Statsrevisorerene, der står bag undersøgelsen, konkluderer at beredskabet mildest talt sejler.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det kan blive noget så uoverskueligt at genoprette det danske skattevæsens it efter et angreb eller nedbrud.

For it-beredskabet hos Skatteministeriet er tæt ved ikke eksisterende, lyder det i den seneste, stærkt kritiske rapport fra Statsrevisorerne.

»Skatteministeriet har et utilfredsstillende it-beredskab for kritiske forretningsprocesser. Konsekvensen er, at der er risiko for, at it-nedbrud og datatab medfører, at Skatteministeriet ikke kan opkræve skatter og afgifter, og at borgere og virksomheder ikke kan få udbetalt tilgodehavender fra staten,« lyder det i en af rapportens konklusioner.

Derudover risikerer ministeriet langt større datatab end de burde, fordi risikovurderingen er gået skævt:

Artiklen fortsætter efter annoncen

»Ministeriet har heller ikke koordineret kravene til it-systemernes maksimale datatab. Det kan betyde, at ministeriet kan lide større datatab, og at det tager længere tid at reetablere it-systemerne end forventet.«

I ministeriet har man kortlagt, at man ud af de i alt omkring 230 it-systemer har 45 systemer, som er decideret kritiske. Af dem har ministeriet kortlagt it-beredskabet for syv af dem, mens ministeriet mangler overblikket over resten af it-landskabet. Det er i sig selv en voldsom udmelding, men rapporten konstaterer samtidig, at Skatteministeriet “ikke har implementeret nødplaner og indsatsplaner for kritiske forretningsprocesser”.

De tre undersøgte forretningsprocesser

  • Personskat (A-skat og AM-bidrag) udgjorde i 2020 ca. 547 mia. kr., svarende til 50 % af statens indtægter.
  • Moms udgjorde i 2020 ca. 230 mia. kr., svarende til 21 % af statens indtægter. Virksomheder angav i 2020 positive momsangivelser for ca. 536 mia. kr. og negative momsangivelser for ca. 306 mia. kr.
  • Selskabsskat udgjorde i 2020 ca. 70 mia. kr., svarende til 6 % af statens indtægter.

Kilde: Skatteministeriets årsregnskab 2020

For få og dårlige nødplaner

Og skulle forebyggelsen gå galt og de kritiske systemer gå ned, er den helt gal.

For nød- og genoprettelsesplanerne er utilfredsstillende, da de kun forholder sig til nedbrud på ét af de 5 såkaldte it-fagsystemer. For at gøre ondt værre har ministeriet ikke indsatsplaner for den interne krisestyring for otte af de ni undersøgte it-systemer, som løser centrale opgaver vedrørende personskat, moms og selskabsskat.

Ministeriet har hverken testet nødplanen for momsprocessen eller den ene indsatsplan, som ministeriet har udarbejdet. Skatteministeriet har sikret, at der er udarbejdet reetableringsplaner for, hvordan otte af de ni undersøgte it-systemer rent teknisk skal reetableres efter et nedbrud.

Med andre ord aner ministeriet ikke hvad det skal stille op, hvis hovedparten af systemerne bryder sammen. Det betyder groft sagt, at hvis systemet bryder sammen, så er statens evne til at opkræve en række skatter og afgifter ikke bare udfordret, og der er ikke udsigt til, at dette bliver løst foreløbigt.

Dårlige tests truer beredskabet yderligere

Resten af re-etableringsplanerne er generelt ikke testet godt nok. Så selv der hvor planerne er stærkest er det uvist, om planen faktisk fungerer i praksis.

Og som en sidste, pinlig prik over i’et vurderer statsrevisorerne, at der var så lidt styr på beredskabsplanerne, at de ikke kan fungere som...en del af et beredskab:

»Skatteministeriet har i forbindelse med undersøgelsen haft vanskeligt ved at fremskaffe de eksisterende it-beredskabsplaner. Det er afgørende, at ministeriet hurtigt kan finde de relevante it-beredskabsplaner i en beredskabssituation,« lyder det fra statsrevisorerne, der hamrer endnu et søm i kisten:

»Skatteministeriet har endvidere ikke har taget stilling til eller aftalt med leverandørerne, i hvilken rækkefølge ministeriets it-systemer skal reetableres, i tilfælde af at alle eller flere systemer går ned samtidigt.«

Man er altså heller ikke tilfredse med ministeriets leverandørstyring.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
20. september 2021 kl. 16:21

For at få styr på den slags kræver det hardware til backupsystemer, det kræver at man har hardware så man kan lave sandboxes man kan teste resore ind i og det kræver at der er folk nok til at man har tid til det. Hvis man har skåret det hele ned og de få tilbageværende ligger vandret for at slukke ildebrande, resourcer til sandboxe er væk og alt ud over det nødvendige bliver klaret af konsulenter udefra kan det kun gå den vej. Men det ser godt ud på regnskabet.

8
20. september 2021 kl. 11:56

Frygten for statens overvågning er stor, men frygten for at leve uden en kæmpe velfærdsstat, som overvågningen muliggør, er større

Falsk præmis. Overvågningen er ikke det, som muliggør en velfærdsstat.

De fleste af os ønsker et velfærdsniveau hvor den demokratiske stat financierer læger, hospitaler, pleje, undervisning, pålidelig strøm og vand, sikre veje og regulering af den slags virksomheder, der hælder melanin i modermælkserstatning for at øge udbetaling af udbytte.

Og det betaler vi gladeligt vores skat til. Og det skal Skat selvfølgelig sikre forløber pålideligt.

Hvis ikke man sætter enormt meget pris på vores fredelige, trygge og superpriviligerede dagligdag i Skandinavien, kan jeg anbefale at rejse til et andet kontinent og bo i en længere periode. Bare sådan lige for at teste, om det er en bedre model.

7
19. september 2021 kl. 10:15

Problemet

Frygten for statens overvågning er stor, men frygten for at leve uden en kæmpe velfærdsstat, som overvågningen muliggør, er større.

Tror nærmere , at velfærds"staten" ikke lige lader sig nedlægge, ikke engang hvis vi fjerner staten fra ligningen.

Private aktører vil stå parat til at tage over på abonnement eller forsikringslignende betingelser.

Sikkerhed og tryghed sælger altid stort, og privatliv og retssikkerhed ryger som regel med i handlen.

Jeg foretrækker at staten også fremover har den rolle. Fremfor en privatiseret "Big Brother"

6
18. september 2021 kl. 18:48

Det er vel meget typisk for Version2s kommentatorer. Frygten for statens overvågning er stor, men frygten for at leve uden en kæmpe velfærdsstat, som overvågningen muliggør, er større.

5
18. september 2021 kl. 18:11

I filmen Die Hard 4.0 sker et et decideret kollaps af samfundet tilvejebragt af 'cyber-warfare'. De kalder konceptet "Fire Sale"

Trin 2 i denne tretrinsmodel er: (fra https://diehard.fandom.com/wiki/Fire_Sale)

Stage 2: Disable the financial systems; including Wall Street, banks and financial records.

I min levetid har jeg set adskillige eksempler på at det virkelige liv overgår fantasien, men desværre ikke på en positiv måde. Dette kunne, ifølge nyheden her, være en af disse eksempler, hvis det går galt.

Det her handler lidt om IT, og rigtig meget om prioriteringer i den offentlige forvaltning og prioriteringer i dansk politik. Helt overordnet, er vi på samfundsniveau godt i gang med en afvikling af det demokratiske retssamfund.

Spørg jer selv om prioriteringerne og proportionaliteterne er fornuftigt valgt, når Politiet/SKAT/Staten skal vide alt om landets borgere og deres liv, for at fange nogle få idioter, og når de rigtige skurke alligevel omgår (eller indgår aftaler med) disse systemer og apparater - når ét af de mest fundamentale systemer der eksisterer i Danmark, som skal sikre den store økonomiske drift (og dermed velfærdssamfundet) er så dårligt sikret som det er.

Jeg har spurgt, og svaret er nej.

Bare fucking nej.

4
18. september 2021 kl. 09:24

ikke så sikker på at det her kun halter hos SKAT.

Et grundvilkår for IT-beredskab er at det nemt bliver glemt, overset eller fortrængt i den daglige kamp om resourcer

Jeg skal ikke gøre mig til dommer over om hvorvidt det er rigtigt eller forkert, men sådan er det almindeligvis.

Det er selvfølgeligt heller ikke blevet nemmere med store destruktive malware attacks, der stiller helt andre krav til de tekniske løsninger i forhold til det trusselbillede man tidligere så. (tab af infrastruktur pga. force majeur etc.)

Men hvis SKAT vil rydde op i det her taler vi nemt om et coreteam på 2-4 mand, og et træk ude i organisationen på mellem 4 og 10 FTE spredt ud over de enkelte systemer. Hvad der deudover skal bruges på investeringer i spejling, backup etc tør jeg ikke gætte på.

3
18. september 2021 kl. 01:27

Hvrdan kan samfundet i så fald fungere?

Det vil fungere glimrende. Der er ingen naturlov der siger at staten skal råde over 52% af et lands samlede produktion. Markedet vil træde til, og tingene vil sikkert køre bedre end før.

2
17. september 2021 kl. 19:40

Er det ikke... på et niveau, som må sige at være en trussel for "statens sikkerhed"?

Jo. Det lyder sådan, for lægperson.

Dette her er så lagt ude, at man bliver tavs.

1
17. september 2021 kl. 19:10

... på et niveau, som må sige at være en trussel for "statens sikkerhed"?:

"Skatteministeriets it-beredskab er så ringe, at der er risiko for, at opkrævningen af skatter for 850 milliarder kroner om året og udbetalingen af pensioner og uddannelsesstøtte bryder sammen."

Hvrdan kan samfundet i så fald fungere?

Hvordan kan det blive ved med at sejle sådan? Er der ikke nogen i skatteforvaltningen/ministeriet, hvis dedikerede opgave er at holde styr på sikkerheden?

Hvorfor kan skatteministeriet ikke finde disse huller, når Rigsrevisionen kan?