Finansministeriet: Hver tredje statslige it-system risikerer nedbrud og hackerangreb

Illustration: REDPIXEL.PL/Bigstock
Ministeren for offentlig innovation stiller sig nu i spidsen for at rydde op i statens it-systemer. Både de mange systemer, som ikke er blevet vedligeholdt eller udbudt og de store offentlige it-projekter, som nu skal sikkert i havn, lyder det fra Finansministeriet.

Store dele af statens digitale motor risikerer at blive ramt af nedbrud og hackerangreb på grund af manglende vedligeholdelse, skriver Jyllands-Posten. Det fremgår af regeringens nye kasseeftersyn på it-området, der konkluderer, at mere end hver tredje af de vitale it-systemer er i dårlig stand.

Statens it-systemer er afgørende for bl.a. sundhedsvæsnets, skattevæsnets og politiets arbejde.

Ministeren for offentlig innovation, Sophie Løhde (V), mener, at kasseeftersynets konklusioner er dybt bekymrende.

»Mange af de gamle og meget kritiske systemer er ikke blevet ordentligt vedligeholdt. Derfor står vi nu med en række kritiske it-systemer, som er i dårlig stand. Det er i sig selv skræmmende, fordi det øger risikoen for nedbrud og kompromittering (f.eks. via hackerangreb, red.),« siger Sophie Løhde til Jyllands-Posten.

Kasseeftersynet viser, at staten bruger ca. 7 mia. kr. om året på it-området, og altså at flere af de it-systemer, som er kritiske for vores samfund, er i dårlig stand.

»Med masser af it-projekter på forsiden af aviserne og med kasseeftersynets gennemgang af statens it-systemer, er det jo tydeligt for enhver, at der er behov for handling. Det er på tide at tage skeen i den anden hånd. Vi skal simpelthen bruge skatteydernes penge mere begavet,« siger hun ifølge en nyhed fra Finansministeriet.

Rapporten udpeger 428 statslige it-systemer, som er kritiske for at drive den offentlige motor. Det kan være systemer, som sikrer, at borgere får deres offentlige ydelser, og at politiets kriminalregister fungerer.

Ud af de 428 systemer er 158 i en utilstrækkelig teknisk tilstand. Rapporten udpeger ikke, hvilke systemer, der er skrøbelige, da det vil kunne bruges som en invitation til f.eks. hackerangreb. Men forskere og Rigsrevisionen har tidligere været ude efter it-sikkerheden i blandt andet Sundhedsministeriet, hos politiet og i energiforsyningen.

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

Version2 kunne også så sent som i tirsdags fortælle, at ti statsorganisationer, herunder MedCom som håndterer følsomme patientdata og SFI følsomme socialdata, har måttet stramme gevaldigt op på it-sikkerheden det seneste halve år. Indsatsen er sket efter at Rigsrevisionen i efteråret påviste en lang række svagheder.

Læs også: Malware-befængt institution standser rundspredning af admin-rettigheder

Nedslidning hos SKAT

Et velkendt eksempel på nedslidte it-systemer finder man i Skat, hvor en lang række borgere og virksomheder er blevet ramt af problemer med sagsbehandlingen.

»Det her er alvorligt, og det er derfor, at vi fra regeringens side tager initiativet til at lave en omfattende ny it-strategi. Det er tid til, at vi tager skeen i den anden hånd,« siger Sophie Løhde, der endnu ikke har overblik over, hvad oprydningsarbejdet vil koste.

IT-professor Kim Normann Andersen fra CBS mener, at det er på høje tid, at man sætter ind.

»Det lyder alvorligt, at så mange kritiske systemer er skrøbelige. Og i mine øjne bliver det ekstra alvorlig af, at det er de enkelte statslige instanser, der selv har meldt problemerne ind i forbindelse med undersøgelsen. Det viser en vis form for handlingslammelse, at de ikke for længst har fået styr på det,« siger han til Jyllands-Posten.

Ifølge Sophie Løhde er der ingen snuptagsløsninger, men et stort behov for et grundigt forarbejde, der kan danne basis for en solid, fremadrettet indsats på det statslige it-område. Ministeren igangsætter derfor nu det vigtige arbejde med en statslig it-strategi:

»Staten har i dag ca. 4000 it-systemer, og flere af dem er ikke ordentligt vedligeholdt. Vi skal sætte bredt ind, og det kommer til at tage sin tid. Men jeg vil insistere på, at det kan lade sig gøre. Vi skal både finde nøglen til at udvikle de nye projekter til rette pris og uden forsinkelser. Og vi skal sørge for, at vi driver dem bedre, når de er sat i drift.«

»Det kræver en grundlæggende forandring i den måde, som staten arbejder med it på. Det er et langt, sejt træk, og problemerne løses ikke med et snuptag. Med it-strategien vil vi gennemføre flere markante ændringer på området, som sikrer at vores digitale infrastruktur styres sikkert og professionelt,« siger Sophie Løhde.

Link til rapporten fra Finansministeriet

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Bendixen

»Mange af de gamle og meget kritiske systemer er ikke blevet ordentligt vedligeholdt. Derfor står vi nu med en række kritiske it-systemer, som er i dårlig stand. Det er i sig selv skræmmende, fordi det øger risikoen for nedbrud og kompromittering (f.eks. via hackerangreb, red.),« siger Sophie Løhde til Jyllands-Posten.

Ny udviklede IT-systemer er også sårbare overfor hackerangreb.

John Foley

Godt initiativ fra Innovationsministeren, Sophie Løhde's. "Keep up the good work". Igangsæt også gerne hurtigts muligt yderligere tiltrængte initiativer som:
- Etablering af et nationalt cybersikkerheds råd
- Nyskrivning af en national cybersikkerheds strategi
- Etablering af et nationalt korps af frivillige it- og cyberekspert
Initiativer, der allerede for længe siden er gennemført i lande vi ofte sammenligner os med.

Stig Johansen

Du har helt ret - taler af erfaring.

Der er jo slet ikke tale om et eftersyn, men selvrapporterede data:
<qoute>
Kasseeftersynets resultater er baseret på oplysninger fra en spørgeskemaundersø-
gelse på alle ministerområder, interviews med udvalgte myndigheder samt opfølgende workshops. Resultaterne er således baseret på myndighedernes selvrapporterede data og vurderinger og er derfor behæftet med en vis usikkerhed.</qoute>

John Foley

Enig i at det ville være "rigtig interessant hvis rapporten skelnede mellem de systemer der køres inhouse og dem der er outsourcet til CSC, KMD osv." Det vigtigste er dog, at ansvaret ligger hos myndighederne, og kan ikke outsources. At myndighederne i mange tilfælde ikke i tilstrækkelig grad fører tilsyn eller kontrollerer leverandørerne er desværre en kendt sag.
Læg i øvrigt mørke til at rapporten er udarbejdet på baggrund af myndighedernes egne oplysninger, og ikke er kontrolleret. Derfor en vis og måske også stor usikkerhed i undersøgelsen, selvom konklusionerne forekommer rigtige.

Christian Nobel

Mange af de gamle og meget kritiske systemer er ikke blevet ordentligt vedligeholdt.

At noget er "gammelt" betyder ikke nødvendigvis at det er dårligt.

I disse internethypede tider, hvor alt skal være åh-så-smart, ja så er ting håbløst gammeldags, hvis man ikke kan tilgå alle kroge fra en mobiltelefon eller tablet.

Men er det nødvendigt kan man nogen gange spørge sig selv om.

Ikke at der ikke skal foretages en grundig revision over hele linien, men nogen gange skal man også overveje konsekvenserne af at reparere på noget der ikke er gået i stykker.

En anden ting der kan bekymre mig i denne snak er DI der står på sidelinien og vejrer morgenluft, i den tro at privatisering er den hellige gral - mig bekendt har private firmaer gennem de seneste 20 år haft en betydelig aktie i de tilfælde det er gået fatalt galt, så måske hele modellen skal genovervejes når det drejer sig om offentlig udvikling.

Denny Christensen

Grinder, man får indtryk af at de gamle IT systemer som en bil mangler vedligehold, ny olie, nye filtre og fire friske Viborg dæk så kører de igen...

Nye systemer, med nyere teknologi der har et UI imod web, er pr. definition mere usikkert end de gamle mainframe løsninger. Måske vi skal tilbage til mainframe løsninger og 3270 skærmbilleder?? Skræmmende...

Frithiof Jensen

Igangsæt også gerne hurtigts muligt yderligere tiltrængte initiativer som:


AhEm - Flere snakkeklubber er ganske vist "initiativer", men desvärre af den politiske slags, hvor man omhyggeligt vedligeholder et problem for hele tiden at "kunne göre noget ved det" (og slipper for at skifte holdninger eller ändre partiprogrammet).

CFC - siden det er dem som skal väre ansvarlige - kunne vel hyre et bundt techies som man så sender rundt ala Rejseholdet (når der et problem), eller forebyggende ala Fødevarestyrelsen.

Det ville väre et Initiativ, der endte i Resultater (derfor er det meget svärt at gennemföre i Danmark, det er simpelthen alt for lidt "suppe" på det "ben" for alle "stakeholders").

Poul-Henning Kamp Blogger

Er dette ikke en logisk følge af kun at købe nye IT-systemer via udbud og ikke have inhouse ressourcer til at stå for daglig drift og opdatering af både nye og gamle systemer??

Måske mere et resultat af at politikere bruger "digitalisering" som en trylleformular der fjerner 12.5% af et budget, frem for en bottom-up anvendelse af IT til at effektivisere konkrete administrative arbejdsbyrder.

Michael Cederberg

Kasseeftersynets resultater er baseret på oplysninger fra en spørgeskemaundersø-
gelse på alle ministerområder, interviews med udvalgte myndigheder samt opfølgende workshops. Resultaterne er således baseret på myndighedernes selvrapporterede data og vurderinger og er derfor behæftet med en vis usikkerhed.

Og det betyder at vi ikke reelt ved hvordan det står til. Er dem i ministerierne kvalificerede til at bedømme sikkerheden? Er nogen af dem ude på at få fat i den pulje af penge som altid følger den slags initiativer? Har nogen "bekvemt" underrapporteret systemer som falder i kategorien "varme kartofler"?

Vi er nødt til at have nogle offentligt tilgængelige krav til IT sikkerhed i Danmark. På den måde kan vi have en kvalificeret diskussion om sikkerhedsniveauet. Og derefter kan man så lave en egentlig IT sikkerhedsrevision af de enkelte systemer.

Nye systemer, med nyere teknologi der har et UI imod web, er pr. definition mere usikkert end de gamle mainframe løsninger. Måske vi skal tilbage til mainframe løsninger og 3270 skærmbilleder?? Skræmmende...

Det er nonsens. Hvis mainframe løsningen er på nettet, så er den ligeså udsat som en webløsning. Jeg kan godt finde ud af at skrive kode der simulerer en grøn terminal.

Er dette ikke en logisk følge af kun at købe nye IT-systemer via udbud og ikke have inhouse ressourcer til at stå for daglig drift og opdatering af både nye og gamle systemer??

Det er stadigvæk det offentliges opgave at sikre sikkerheden. Det kan ikke blot outsources. Og hvis offentlige myndigheder vil være i stand til at forstå om deres systemer er sikre, så er de nødt til at have inhouse ressourcer der forstår sikkerhed. Drift ifbm. sikkerhed handler om meget mere end blot at putte opdateringer på. Der er fx. altid en masse trade-offs der skal laves imellem adgang til systemer og sikkerhed. Den slags kan kun laves af dem der har ansvaret for systemet.

Christian Nobel
John Foley

Enig Christian Nobel. Center for Cybersikkerhed (CFCS) er efter min mening fejlanbragt under FE, der igen er underlagt Forsvarsministeriet.
Mine tre tidligere fremsatte forslag til initiativer er f.eks. alle gennemført i Estland, der nok er det mest digitaliseret land i verden og på forkant med udviklingen.
I Estland tages it- og cybersikkerheden alvorligt i takt med en øget digitalisering i både staten og det private samt forskningsverdenen. Dette gøres afbalanceret og med skyldig hensyntagen til samfundets og befolkningens sikkerhed.

Jacob Christiansen

Ingen tvivl om at dette lammer de fleste offentlige institutioner ie. SKAT osv. Men det medfører ikke nødvendigvis at systemer ikke bliver vedligeholdt løbende. Manglende vedligehold af systemer er et "aktivt" valg. Løbende vedligelholdelse af systemer er sjælendt noget der egner sig godt til at komme i udbud. Prisen er oftest ublu høj, specielt med de udbudsformer og bodskrav som de offebtlige IT udbud indeholder.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder