Én gang til: Statsrevisorerne med sønderlemmende kritik af it-beredskabet i skattevæsenet

It-beredskabet hos Skatteministeriet er i en kritisk tilstand, der kan få stor betydning for statens mulighed for at opkræve skatter og afgifter, hvis systemet rammes af et it-angreb. Illustration: SKAT
En undersøgelse af Skatteministeriets it-beredskab er gruopvækkende læsning. Statsrevisorerene, der står bag undersøgelsen, konkluderer at beredskabet mildest talt sejler.

Det kan blive noget så uoverskueligt at genoprette det danske skattevæsens it efter et angreb eller nedbrud.

For it-beredskabet hos Skatteministeriet er tæt ved ikke eksisterende, lyder det i den seneste, stærkt kritiske rapport fra Statsrevisorerne.

»Skatteministeriet har et utilfredsstillende it-beredskab for kritiske forretningsprocesser. Konsekvensen er, at der er risiko for, at it-nedbrud og datatab medfører, at Skatteministeriet ikke kan opkræve skatter og afgifter, og at borgere og virksomheder ikke kan få udbetalt tilgodehavender fra staten,« lyder det i en af rapportens konklusioner.

Derudover risikerer ministeriet langt større datatab end de burde, fordi risikovurderingen er gået skævt:

»Ministeriet har heller ikke koordineret kravene til it-systemernes maksimale datatab. Det kan betyde, at ministeriet kan lide større datatab, og at det tager længere tid at reetablere it-systemerne end forventet.«

I ministeriet har man kortlagt, at man ud af de i alt omkring 230 it-systemer har 45 systemer, som er decideret kritiske. Af dem har ministeriet kortlagt it-beredskabet for syv af dem, mens ministeriet mangler overblikket over resten af it-landskabet. Det er i sig selv en voldsom udmelding, men rapporten konstaterer samtidig, at Skatteministeriet “ikke har implementeret nødplaner og indsatsplaner for kritiske forretningsprocesser”.

For få og dårlige nødplaner

Og skulle forebyggelsen gå galt og de kritiske systemer gå ned, er den helt gal.

For nød- og genoprettelsesplanerne er utilfredsstillende, da de kun forholder sig til nedbrud på ét af de 5 såkaldte it-fagsystemer. For at gøre ondt værre har ministeriet ikke indsatsplaner for den interne krisestyring for otte af de ni undersøgte it-systemer, som løser centrale opgaver vedrørende personskat, moms og selskabsskat.

Ministeriet har hverken testet nødplanen for momsprocessen eller den ene indsatsplan, som ministeriet har udarbejdet. Skatteministeriet har sikret, at der er udarbejdet reetableringsplaner for, hvordan otte af de ni undersøgte it-systemer rent teknisk skal reetableres efter et nedbrud.

Med andre ord aner ministeriet ikke hvad det skal stille op, hvis hovedparten af systemerne bryder sammen. Det betyder groft sagt, at hvis systemet bryder sammen, så er statens evne til at opkræve en række skatter og afgifter ikke bare udfordret, og der er ikke udsigt til, at dette bliver løst foreløbigt.

Dårlige tests truer beredskabet yderligere

Resten af re-etableringsplanerne er generelt ikke testet godt nok. Så selv der hvor planerne er stærkest er det uvist, om planen faktisk fungerer i praksis.

Og som en sidste, pinlig prik over i’et vurderer statsrevisorerne, at der var så lidt styr på beredskabsplanerne, at de ikke kan fungere som...en del af et beredskab:

»Skatteministeriet har i forbindelse med undersøgelsen haft vanskeligt ved at fremskaffe de eksisterende it-beredskabsplaner. Det er afgørende, at ministeriet hurtigt kan finde de relevante it-beredskabsplaner i en beredskabssituation,« lyder det fra statsrevisorerne, der hamrer endnu et søm i kisten:

»Skatteministeriet har endvidere ikke har taget stilling til eller aftalt med leverandørerne, i hvilken rækkefølge ministeriets it-systemer skal reetableres, i tilfælde af at alle eller flere systemer går ned samtidigt.«

Man er altså heller ikke tilfredse med ministeriets leverandørstyring.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

... på et niveau, som må sige at være en trussel for "statens sikkerhed"?:

"Skatteministeriets it-beredskab er så ringe, at der er risiko for, at opkrævningen af skatter for 850 milliarder kroner om året og udbetalingen af pensioner og uddannelsesstøtte bryder sammen."

Hvrdan kan samfundet i så fald fungere?

Hvordan kan det blive ved med at sejle sådan? Er der ikke nogen i skatteforvaltningen/ministeriet, hvis dedikerede opgave er at holde styr på sikkerheden?

Hvorfor kan skatteministeriet ikke finde disse huller, når Rigsrevisionen kan?

  • 13
  • 0
#4 Morten Fordsmand

ikke så sikker på at det her kun halter hos SKAT.

Et grundvilkår for IT-beredskab er at det nemt bliver glemt, overset eller fortrængt i den daglige kamp om resourcer

Jeg skal ikke gøre mig til dommer over om hvorvidt det er rigtigt eller forkert, men sådan er det almindeligvis.

Det er selvfølgeligt heller ikke blevet nemmere med store destruktive malware attacks, der stiller helt andre krav til de tekniske løsninger i forhold til det trusselbillede man tidligere så. (tab af infrastruktur pga. force majeur etc.)

Men hvis SKAT vil rydde op i det her taler vi nemt om et coreteam på 2-4 mand, og et træk ude i organisationen på mellem 4 og 10 FTE spredt ud over de enkelte systemer. Hvad der deudover skal bruges på investeringer i spejling, backup etc tør jeg ikke gætte på.

  • 3
  • 0
#5 Børge Svingalius

I filmen Die Hard 4.0 sker et et decideret kollaps af samfundet tilvejebragt af 'cyber-warfare'. De kalder konceptet "Fire Sale"

Trin 2 i denne tretrinsmodel er: (fra https://diehard.fandom.com/wiki/Fire_Sale)

Stage 2: Disable the financial systems; including Wall Street, banks and financial records.

I min levetid har jeg set adskillige eksempler på at det virkelige liv overgår fantasien, men desværre ikke på en positiv måde. Dette kunne, ifølge nyheden her, være en af disse eksempler, hvis det går galt.

Det her handler lidt om IT, og rigtig meget om prioriteringer i den offentlige forvaltning og prioriteringer i dansk politik. Helt overordnet, er vi på samfundsniveau godt i gang med en afvikling af det demokratiske retssamfund.

Spørg jer selv om prioriteringerne og proportionaliteterne er fornuftigt valgt, når Politiet/SKAT/Staten skal vide alt om landets borgere og deres liv, for at fange nogle få idioter, og når de rigtige skurke alligevel omgår (eller indgår aftaler med) disse systemer og apparater - når ét af de mest fundamentale systemer der eksisterer i Danmark, som skal sikre den store økonomiske drift (og dermed velfærdssamfundet) er så dårligt sikret som det er.

Jeg har spurgt, og svaret er nej.

Bare fucking nej.

  • 8
  • 0
#7 ebbe hansen

Problemet

Frygten for statens overvågning er stor, men frygten for at leve uden en kæmpe velfærdsstat, som overvågningen muliggør, er større.

Tror nærmere , at velfærds"staten" ikke lige lader sig nedlægge, ikke engang hvis vi fjerner staten fra ligningen.

Private aktører vil stå parat til at tage over på abonnement eller forsikringslignende betingelser.

Sikkerhed og tryghed sælger altid stort, og privatliv og retssikkerhed ryger som regel med i handlen.

Jeg foretrækker at staten også fremover har den rolle. Fremfor en privatiseret "Big Brother"

  • 11
  • 0
#8 Martin Dahl

Frygten for statens overvågning er stor, men frygten for at leve uden en kæmpe velfærdsstat, som overvågningen muliggør, er større

Falsk præmis. Overvågningen er ikke det, som muliggør en velfærdsstat.

De fleste af os ønsker et velfærdsniveau hvor den demokratiske stat financierer læger, hospitaler, pleje, undervisning, pålidelig strøm og vand, sikre veje og regulering af den slags virksomheder, der hælder melanin i modermælkserstatning for at øge udbetaling af udbytte.

Og det betaler vi gladeligt vores skat til. Og det skal Skat selvfølgelig sikre forløber pålideligt.

Hvis ikke man sætter enormt meget pris på vores fredelige, trygge og superpriviligerede dagligdag i Skandinavien, kan jeg anbefale at rejse til et andet kontinent og bo i en længere periode. Bare sådan lige for at teste, om det er en bedre model.

  • 1
  • 0
#9 Bjarne Nielsen

Og det betaler vi gladeligt vores skat til. Og det skal Skat selvfølgelig sikre forløber pålideligt.

Hvis ikke man sætter enormt meget pris på vores fredelige, trygge og superpriviligerede dagligdag i Skandinavien, ...

... så kan man begive sig ud i kreative selskabskonstruktioner og skattely. Alle fordelene uden selv at skulle betale. Kan varmt anbefales.

(spor af sarkasme kan forekomme)

  • 1
  • 0
#10 Jakob Dahl

For at få styr på den slags kræver det hardware til backupsystemer, det kræver at man har hardware så man kan lave sandboxes man kan teste resore ind i og det kræver at der er folk nok til at man har tid til det. Hvis man har skåret det hele ned og de få tilbageværende ligger vandret for at slukke ildebrande, resourcer til sandboxe er væk og alt ud over det nødvendige bliver klaret af konsulenter udefra kan det kun gå den vej. Men det ser godt ud på regnskabet.

  • 3
  • 0
Log ind eller Opret konto for at kommentere