Finansministeriet: Hver tredje statslige it-system risikerer nedbrud og hackerangreb

29. januar 2017 kl. 22:0920
Ministeren for offentlig innovation stiller sig nu i spidsen for at rydde op i statens it-systemer. Både de mange systemer, som ikke er blevet vedligeholdt eller udbudt og de store offentlige it-projekter, som nu skal sikkert i havn, lyder det fra Finansministeriet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Store dele af statens digitale motor risikerer at blive ramt af nedbrud og hackerangreb på grund af manglende vedligeholdelse, skriver Jyllands-Posten. Det fremgår af regeringens nye kasseeftersyn på it-området, der konkluderer, at mere end hver tredje af de vitale it-systemer er i dårlig stand.

Eftersynets resultater

Resultaterne fra eftersynet viser blandt andet, at:

  • Staten bruger ca. 7 mia. kr. om året på it, men at der ikke er et tilstrækkeligt indblik i, hvad midlerne bruges på.

  • Der er indrapporteret ca. 170 igangværende it-udviklingsprojekter med et budget på over 5 mio. kr. Samlet set svarer det til et samlet budget på ca. 5,8 mia. kr. over en længere årrække. Cirka to tredjedele af disse projekter vurderes at have en lav risikoprofil.

  • Det estimeres, at der findes ca. 430 it-systemer, der vurderes som kritiske for statens virke eller for samfundet som helhed. De vurderes endvidere, at over 150 it-systemer har en utilstrækkelig systemtilstand. For langt hovedparten er der igangsat tiltag, der skal forbedre forholdene.

  • Der er en varierende kvalitet i myndighedernes varetagelse af it-opgaverne, fx i forhold til styring af it-porteføljen, kontrakt- og leverandørstyring og vedligehold af it-systemer.

Statens it-systemer er afgørende for bl.a. sundhedsvæsnets, skattevæsnets og politiets arbejde.

Ministeren for offentlig innovation, Sophie Løhde (V), mener, at kasseeftersynets konklusioner er dybt bekymrende.

Artiklen fortsætter efter annoncen

»Mange af de gamle og meget kritiske systemer er ikke blevet ordentligt vedligeholdt. Derfor står vi nu med en række kritiske it-systemer, som er i dårlig stand. Det er i sig selv skræmmende, fordi det øger risikoen for nedbrud og kompromittering (f.eks. via hackerangreb, red.),« siger Sophie Løhde til Jyllands-Posten.

Kasseeftersynet viser, at staten bruger ca. 7 mia. kr. om året på it-området, og altså at flere af de it-systemer, som er kritiske for vores samfund, er i dårlig stand.

»Med masser af it-projekter på forsiden af aviserne og med kasseeftersynets gennemgang af statens it-systemer, er det jo tydeligt for enhver, at der er behov for handling. Det er på tide at tage skeen i den anden hånd. Vi skal simpelthen bruge skatteydernes penge mere begavet,« siger hun ifølge en nyhed fra Finansministeriet.

Rapporten udpeger 428 statslige it-systemer, som er kritiske for at drive den offentlige motor. Det kan være systemer, som sikrer, at borgere får deres offentlige ydelser, og at politiets kriminalregister fungerer.

Ud af de 428 systemer er 158 i en utilstrækkelig teknisk tilstand. Rapporten udpeger ikke, hvilke systemer, der er skrøbelige, da det vil kunne bruges som en invitation til f.eks. hackerangreb. Men forskere og Rigsrevisionen har tidligere været ude efter it-sikkerheden i blandt andet Sundhedsministeriet, hos politiet og i energiforsyningen.

Version2 kunne også så sent som i tirsdags fortælle, at ti statsorganisationer, herunder MedCom som håndterer følsomme patientdata og SFI følsomme socialdata, har måttet stramme gevaldigt op på it-sikkerheden det seneste halve år. Indsatsen er sket efter at Rigsrevisionen i efteråret påviste en lang række svagheder.

Nedslidning hos SKAT

Et velkendt eksempel på nedslidte it-systemer finder man i Skat, hvor en lang række borgere og virksomheder er blevet ramt af problemer med sagsbehandlingen.

»Det her er alvorligt, og det er derfor, at vi fra regeringens side tager initiativet til at lave en omfattende ny it-strategi. Det er tid til, at vi tager skeen i den anden hånd,« siger Sophie Løhde, der endnu ikke har overblik over, hvad oprydningsarbejdet vil koste.

IT-professor Kim Normann Andersen fra CBS mener, at det er på høje tid, at man sætter ind.

»Det lyder alvorligt, at så mange kritiske systemer er skrøbelige. Og i mine øjne bliver det ekstra alvorlig af, at det er de enkelte statslige instanser, der selv har meldt problemerne ind i forbindelse med undersøgelsen. Det viser en vis form for handlingslammelse, at de ikke for længst har fået styr på det,« siger han til Jyllands-Posten.

Ifølge Sophie Løhde er der ingen snuptagsløsninger, men et stort behov for et grundigt forarbejde, der kan danne basis for en solid, fremadrettet indsats på det statslige it-område. Ministeren igangsætter derfor nu det vigtige arbejde med en statslig it-strategi:

»Staten har i dag ca. 4000 it-systemer, og flere af dem er ikke ordentligt vedligeholdt. Vi skal sætte bredt ind, og det kommer til at tage sin tid. Men jeg vil insistere på, at det kan lade sig gøre. Vi skal både finde nøglen til at udvikle de nye projekter til rette pris og uden forsinkelser. Og vi skal sørge for, at vi driver dem bedre, når de er sat i drift.«

»Det kræver en grundlæggende forandring i den måde, som staten arbejder med it på. Det er et langt, sejt træk, og problemerne løses ikke med et snuptag. Med it-strategien vil vi gennemføre flere markante ændringer på området, som sikrer at vores digitale infrastruktur styres sikkert og professionelt,« siger Sophie Løhde.

Link til rapporten fra Finansministeriet

20 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
30. januar 2017 kl. 11:55

Ingen tvivl om at dette lammer de fleste offentlige institutioner ie. SKAT osv. Men det medfører ikke nødvendigvis at systemer ikke bliver vedligeholdt løbende. Manglende vedligehold af systemer er et "aktivt" valg. Løbende vedligelholdelse af systemer er sjælendt noget der egner sig godt til at komme i udbud. Prisen er oftest ublu høj, specielt med de udbudsformer og bodskrav som de offebtlige IT udbud indeholder.

17
30. januar 2017 kl. 11:49

Enig Christian Nobel. Center for Cybersikkerhed (CFCS) er efter min mening fejlanbragt under FE, der igen er underlagt Forsvarsministeriet. Mine tre tidligere fremsatte forslag til initiativer er f.eks. alle gennemført i Estland, der nok er det mest digitaliseret land i verden og på forkant med udviklingen. I Estland tages it- og cybersikkerheden alvorligt i takt med en øget digitalisering i både staten og det private samt forskningsverdenen. Dette gøres afbalanceret og med skyldig hensyntagen til samfundets og befolkningens sikkerhed.

16
30. januar 2017 kl. 11:22

Det er stadigvæk det offentliges opgave at sikre sikkerheden. Det kan ikke blot outsources. Og hvis offentlige myndigheder vil være i stand til at forstå om deres systemer er sikre, så er de nødt til at have inhouse ressourcer der forstår sikkerhed. Drift ifbm. sikkerhed handler om meget mere end blot at putte opdateringer på. Der er fx. altid en masse trade-offs der skal laves imellem adgang til systemer og sikkerhed. Den slags kan kun laves af dem der har ansvaret for systemet.

Men der er det så man godt kan blive bekymret i disse newspeak tider, hvor politikere er overbeviste om at man bare kan købe (hos de private) en flaske magisk IT-sovs, som så hældes ud over det hele, og så er den ged barberet.

Det er den uvidenhed der skal gøres op med, for ellers fortsætter ulykkerne, bare med andre "ejere".

15
30. januar 2017 kl. 11:10

<strong>Kasseeftersynets resultater er baseret på oplysninger fra en spørgeskemaundersø-
gelse på alle ministerområder, interviews med udvalgte myndigheder samt opfølgende workshops. Resultaterne er således baseret på myndighedernes selvrapporterede data og vurderinger og er derfor behæftet med en vis usikkerhed.</strong>

Og det betyder at vi ikke reelt ved hvordan det står til. Er dem i ministerierne kvalificerede til at bedømme sikkerheden? Er nogen af dem ude på at få fat i den pulje af penge som altid følger den slags initiativer? Har nogen "bekvemt" underrapporteret systemer som falder i kategorien "varme kartofler"?

Vi er nødt til at have nogle offentligt tilgængelige krav til IT sikkerhed i Danmark. På den måde kan vi have en kvalificeret diskussion om sikkerhedsniveauet. Og derefter kan man så lave en egentlig IT sikkerhedsrevision af de enkelte systemer.

Nye systemer, med nyere teknologi der har et UI imod web, er pr. definition mere usikkert end de gamle mainframe løsninger. Måske vi skal tilbage til mainframe løsninger og 3270 skærmbilleder?? Skræmmende...

Det er nonsens. Hvis mainframe løsningen er på nettet, så er den ligeså udsat som en webløsning. Jeg kan godt finde ud af at skrive kode der simulerer en grøn terminal.

Er dette ikke en logisk følge af kun at købe nye IT-systemer via udbud og ikke have inhouse ressourcer til at stå for daglig drift og opdatering af både nye og gamle systemer??

Det er stadigvæk det offentliges opgave at sikre sikkerheden. Det kan ikke blot outsources. Og hvis offentlige myndigheder vil være i stand til at forstå om deres systemer er sikre, så er de nødt til at have inhouse ressourcer der forstår sikkerhed. Drift ifbm. sikkerhed handler om meget mere end blot at putte opdateringer på. Der er fx. altid en masse trade-offs der skal laves imellem adgang til systemer og sikkerhed. Den slags kan kun laves af dem der har ansvaret for systemet.

12
30. januar 2017 kl. 10:48

Er dette ikke en logisk følge af kun at købe nye IT-systemer via udbud og ikke have inhouse ressourcer til at stå for daglig drift og opdatering af både nye og gamle systemer??

11
30. januar 2017 kl. 10:25

Igangsæt også gerne hurtigts muligt yderligere tiltrængte initiativer som:

AhEm - Flere snakkeklubber er ganske vist "initiativer", men desvärre af den politiske slags, hvor man omhyggeligt vedligeholder et problem for hele tiden at "kunne göre noget ved det" (og slipper for at skifte holdninger eller ändre partiprogrammet).

CFC - siden det er dem som skal väre ansvarlige - kunne vel hyre et bundt techies som man så sender rundt ala Rejseholdet (når der et problem), eller forebyggende ala Fødevarestyrelsen.

Det ville väre et Initiativ, der endte i Resultater (derfor er det meget svärt at gennemföre i Danmark, det er simpelthen alt for lidt "suppe" på det "ben" for alle "stakeholders").

9
30. januar 2017 kl. 10:04

Grinder, man får indtryk af at de gamle IT systemer som en bil mangler vedligehold, ny olie, nye filtre og fire friske Viborg dæk så kører de igen...

Nye systemer, med nyere teknologi der har et UI imod web, er pr. definition mere usikkert end de gamle mainframe løsninger. Måske vi skal tilbage til mainframe løsninger og 3270 skærmbilleder?? Skræmmende...

8
30. januar 2017 kl. 09:46

Mange af de gamle og meget kritiske systemer er ikke blevet ordentligt vedligeholdt.

At noget er "gammelt" betyder ikke nødvendigvis at det er dårligt.

I disse internethypede tider, hvor alt skal være åh-så-smart, ja så er ting håbløst gammeldags, hvis man ikke kan tilgå alle kroge fra en mobiltelefon eller tablet.

Men er det nødvendigt kan man nogen gange spørge sig selv om.

Ikke at der ikke skal foretages en grundig revision over hele linien, men nogen gange skal man også overveje konsekvenserne af at reparere på noget der ikke er gået i stykker.

En anden ting der kan bekymre mig i denne snak er DI der står på sidelinien og vejrer morgenluft, i den tro at privatisering er den hellige gral - mig bekendt har private firmaer gennem de seneste 20 år haft en betydelig aktie i de tilfælde det er gået fatalt galt, så måske hele modellen skal genovervejes når det drejer sig om offentlig udvikling.

7
30. januar 2017 kl. 09:31

Enig i at det ville være "rigtig interessant hvis rapporten skelnede mellem de systemer der køres inhouse og dem der er outsourcet til CSC, KMD osv." Det vigtigste er dog, at ansvaret ligger hos myndighederne, og kan ikke outsources. At myndighederne i mange tilfælde ikke i tilstrækkelig grad fører tilsyn eller kontrollerer leverandørerne er desværre en kendt sag. Læg i øvrigt mørke til at rapporten er udarbejdet på baggrund af myndighedernes egne oplysninger, og ikke er kontrolleret. Derfor en vis og måske også stor usikkerhed i undersøgelsen, selvom konklusionerne forekommer rigtige.

6
30. januar 2017 kl. 09:11

Hvem siger at mission critical systemer skal væer tilgængelige fra I*nettet? Hvis man gør det, er det da en 'Epic failure'.

5
30. januar 2017 kl. 09:08

Du har helt ret - taler af erfaring.

Der er jo slet ikke tale om et eftersyn, men selvrapporterede data: Kasseeftersynets resultater er baseret på oplysninger fra en spørgeskemaundersø- gelse på alle ministerområder, interviews med udvalgte myndigheder samt opfølgende workshops. Resultaterne er således baseret på myndighedernes selvrapporterede data og vurderinger og er derfor behæftet med en vis usikkerhed.

4
30. januar 2017 kl. 09:02

Godt initiativ fra Innovationsministeren, Sophie Løhde's. "Keep up the good work". Igangsæt også gerne hurtigts muligt yderligere tiltrængte initiativer som:

  • Etablering af et nationalt cybersikkerheds råd
  • Nyskrivning af en national cybersikkerheds strategi
  • Etablering af et nationalt korps af frivillige it- og cyberekspert Initiativer, der allerede for længe siden er gennemført i lande vi ofte sammenligner os med.
3
30. januar 2017 kl. 08:55

Det ville være rigtig interessant hvis rapporten skelnede mellem de systemer der køres inhouse og dem der er outsourcet til CSC, KMD osv.

Iøvrigt er overskriften forkert, den burde være: "To tredjedele af statslige IT systemer ikke undersøgt ordentligt"

2
30. januar 2017 kl. 08:21

»Mange af de gamle og meget kritiske systemer er ikke blevet ordentligt vedligeholdt. Derfor står vi nu med en række kritiske it-systemer, som er i dårlig stand. Det er i sig selv skræmmende, fordi det øger risikoen for nedbrud og kompromittering (f.eks. via hackerangreb, red.),« siger Sophie Løhde til Jyllands-Posten.

Ny udviklede IT-systemer er også sårbare overfor hackerangreb.

1
30. januar 2017 kl. 07:44

Mange af de gamle og meget kritiske systemer er ikke blevet ordentligt vedligeholdt. Derfor står vi nu med en række kritiske it-systemer, som er i dårlig stand.

Dejligt at se, at en minister indrømmer, at IT i staten sejler...