Hver tredje dansker har ikke tillid til sikkerheden i statens kritiske it-systemer

19. maj 2021 kl. 10:3922
Hver tredje dansker har ikke tillid til sikkerheden i statens kritiske it-systemer
Illustration: Rasmus Meisler.
Det halter med tilliden til samfundets kritiske it-systemer. Det viser en ny undersøgelse foretaget af IDA. Her svarer hver tredje, at de ikke har tillid til, at der er styr på sikkerheden.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En ny undersøgelse er dårligt nyt for tilliden til de statslige it-systemer.

Hver tredje af de 2.000 repræsentativt adspurgte i en ny undersøgelse foretaget for IDA svarer nemlig, at de ikke har tillid til, at it-sikkerheden er i orden, når det kommer til statens kritiske it-systemer.

Omtrent en fjerdedel svarer hverken eller, mens kun en tredjedel bekræfter, at de er "enige" eller "meget enige" i, at tilliden til de kritiske systemer er intakt.

Situationen er alvorlig

Den iltre mavefornemmelse blandt de adspurgte i undersøgelsen bygger ikke bare på unaturlig skepsis.

Artiklen fortsætter efter annoncen

Det ser nemlig ikke godt ud med sikkerheden i en betydelig del af statens kritiske it-systemer. Det konkluderer Statens It-råd i sin seneste rapport.

Rapporten blotlagde, at størstedelen af de i alt 512 kritiske systemer på nuværende tidspunkt befinder sig i såkaldt ‘utilstrækkelig systemtilstand’, hvilket betyder, at systemet er udfordret af eksempelvis ‘legacy-problematikker’ eller ‘problemer med sikkerheden’.

Det svarer til at hele 57 procent af de systemer, der beskrives som »samfundskritiske it-systemer".

»Myndighedernes porteføljeoverblik har vist, at for mange af statens kritiske it-systemer ikke har fået implementeret alle relevante sikkerhedsopdateringer og patches på det tidspunkt, hvor de blev kortlagt. For mange systemer har også udfordringer med teknisk gæld,« stod der således i rapporten, der efterlyser handling på området.

Artiklen fortsætter efter annoncen

»Det er stadig en vigtig opgave for myndighederne at sørge for, at systemerne er vedligeholdte, opdaterede og sikre. Myndighedernes opmærksomhed på arbejdet med sikkerhed skal skærpes – både på det tekniske og det organisatoriske plan.«

Fare på færde

Som det ofte er beskrevet på Version2, så er truslen mod it-systemerne kun voksende.

Center for Cybersikkered beskriver truslen fra cyberkriminalitet som ‘meget høj’ og har i rapporten ‘Cybertruslen mod Danmark’ kaldt truslen stigende og peget på, at den er rettet mod både danske myndigheder og virksomheder.

En vurdering, der bekræftes hos konsulenthuset Deloitte, der har udgivet rapporten ‘2020 Public Cyber Survey’. Her har man talt 80 ansvarlige for it-sikkerheden i stat, regioner og kommuner.

Artiklen fortsætter efter annoncen

Blandt de adspurgte svarede 85 procent, at cybertruslen mod deres organisation er enten ‘steget’ eller ‘steget betydeligt’ i løbet af de seneste fem år.

22 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
22
21. maj 2021 kl. 18:09

Det giver simpelthen ikke mening at stille spørgsmålet. Der findes ikke 2.000 mennesker, som har tilstrækkelig indsigt i 512 systemer, til at svare meningsfyldt om de har tillid til at sikkerheden er i orden.

Jeg er ikke enig.

Som jeg skriver ovenfor, hvis bare eet af de 512 systemer (eller et system, som IT-rådet ikke har udvalgt), lækker følsom information, så er tilliden væk. Det kræver ingen som helst indsigt.

Selv den "almindelige" presse har jo rapporteret om læk og svagheder.

Personligt er jeg mere forundret over, at 2 ud af 3, virkeligt følger så lidt med, at de mener at have tillid til beskyttelsen af vore data.

På trods af IT-rådets rapport, og tidligere rapporter, står der jo ikke en kødrand af ledere, som lover at forbedre sikkerheden. Derimod ser vi en hob af offentlige ledere, som forsøger at forhindre sanktioner, for at passe dårligt på data.

Igen, det kræver ikke nogen teknisk indsigt overhovedet, at se at fokus IKKE er på sikkerhed.

Man kan selvfølgelig ikke bruge undersøgelsen til at sige at lige præcis system nr. 57 og/eller nr. 117 har dårlig sikkerhed. Det gør Version2 så heller ikke.

21
21. maj 2021 kl. 17:16

Hvorfor ikke?

Artiklen indledes med

Hver tredje af de 2.000 repræsentativt adspurgte i en ny undersøgelse foretaget for IDA svarer nemlig, at de ikke har tillid til, at it-sikkerheden er i orden, når det kommer til statens kritiske it-systemer.

Jeg argumenterer for, at IDAs undersøgelse iforhold til netop spørgsmålet om de kritiske systemer, som må formodes at være de 512 omtalte systemer, er værdiløs.

Det giver simpelthen ikke mening at stille spørgsmålet. Der findes ikke 2.000 mennesker, som har tilstrækkelig indsigt i 512 systemer, til at svare meningsfyldt om de har tillid til at sikkerheden er i orden. Hertil kommer at spørgsmål angående tillid, skal formuleres enormt kløgtigt, hvis man vil undgå at probe en generel bias.

Man kunne ligesågodt have spurgt, om man har tillid til at bademestrene i de 512 største svømmehaller har styr på sikkerheden iforhold til tilsætningen af klor til badevandet i børnebassinerne. Indrøm det. Vi har no clue.

20
21. maj 2021 kl. 16:42

Men det skal virkelig ikke være fordi, at et IDA survey på det pågældende grundlag hævder at "Hver tredje dansker har ikke tillid til sikkerheden i statens kritiske it-systemer".

Hvorfor ikke?

Rapporten fra Statens IT-råd konstaterer at sikkerheden halter. Det er bestemt ikke første gang den konstatering bringes til torvs, uden at det har haft den store virkning.

Version2 bringer så den information sammen med, at man i en undersøgelse har fundet at hver tredje ikke stoler på sikkerheden.

Det er ikke undersøgelsen, men rapporten fra Statens IT-råd, som peger på specifikke svagheder i mange af de 512 systemer.

19
21. maj 2021 kl. 12:11

Det giver vel mening derhen at det kan øge fokus på sikkerheden generelt.

Præcis. For hvem kan sige nej til, at vi skal øge fokus på sikkerhed generelt?

Men det skal virkelig ikke være fordi, at et IDA survey på det pågældende grundlag hævder at "Hver tredje dansker har ikke tillid til sikkerheden i statens kritiske it-systemer".

Man kan også spørge den anden vej rundt. Hvor sikre skal systemer være, så det ikke længere er relevant at "øge fokus på sikkerheden"?

18
21. maj 2021 kl. 11:49

IDAs resultater af undersøgelsen er værdiløse ift. den reelle sikkerhed på de 512 systemer. Spørg desuden en vilkårlig antropolog, om det giver mening at surveye menig person om tillid til noget teknisk, man ikke har indsigt i.

Det giver vel mening derhen at det kan øge fokus på sikkerheden generelt.

Man skal jo også bare undlade at betale een regning, for at blive dårlig betaler. Det kræver ikke viden om alle de regninger, som bliver betalt, endsige detaljer om den ubetalte regning.

På samme vis er det jo nok at eet af de 512 systemer er dårligt, for at man kan sige at der ikke passes ordentligt på vores oplysninger.

Og her er det selvfølgelig en pointe at den tekniske del af IT-systemet ikke behøver at fejle noget, hvis det ikke behandles korrekt. Hvis man feks. efterfølgende smider data i grams til selverklærede "forskere", som lader data ligge ubeskyttede på hjemmesider etc., så smitter det selvfølgelig af på opfattelsen af systemet,

Hvis mine oplysninger bliver lækket, er skaden sket.

Selv har jeg ingen detailkendskab til systemerne, men jeg har læst udtalelserne fra en del af de mennesker, der bestiller systemerne, og det giver bestemt ikke grundlag for tillid.

(Jeg har IKKE deltaget i undersøgelsen)

17
21. maj 2021 kl. 10:58

Så jeg ved ikke hvor du vil hen?

Jeg vil derhen hvor følgende er tydeligt:

IDAs resultater af undersøgelsen er værdiløse ift. den reelle sikkerhed på de 512 systemer. Spørg desuden en vilkårlig antropolog, om det giver mening at surveye menig person om tillid til noget teknisk, man ikke har indsigt i.

De 512 kritiske systemer, som ingen af os iøvrigt kan sætte alle navne på, er sikret på måder som meget få kender til, og de fleste af de 512 må formodes at køre med rimelige drift og sikkerhedsniveauer, da vi de sidste 10 år IKKE har hørt om alvorlige nedbrud eller indbrud fra særlig mange af de systemer. Man må også formode at der mindst var een whistleblower, hvis de fleste af 512 systemer kørte under horrible sikkerhedsniveauer.

Spørgsmålet er snarere, hvor vil IDA hen med det survey?

Selvfølgelig skal CTOer og tilsvarende i de organisationer stå til ansvar for et forsvarligt drifts- og sikkerhedsniveau. Og selvfølgelig skal systemer opdateret i det omfang det er rationelt.

16
20. maj 2021 kl. 18:16

Er der eksempler på hacking af straffeattester? Eller sundhedsjournaler?

Egentlig ikke. Kørekortregister og sundhedsjournaler er blevet nolet, når de har ligget frit fremme.

Kørekortregisteret blev ganske vist påstået cracket (og dømt), men her på stedet betragter man vel ikke at hente data via FTP med et default password, som cracking.

Ikke desto mindre er der i høj grad tale om manglende sikkerhed.

Sikkerhed begynder jo med en bevidsthed om at passe på følsomme oplysninger. Der mangler jo ikke eksempler (som ovenfor) på at den bevidsthed er fraværende.

Så jeg ved ikke hvor du vil hen?

15
20. maj 2021 kl. 12:24

Hvis du afgrænser angreb som noget, hvis formål du lige kan forudse, så er det jo nemt at tro at systemerne er sikre nok.

Jo da, f.eks. har Nemid / Eboks, tydelig vis dårlige og ikke sikre nok elementer i deres produkt, og det skal forbedres. Men trods det, må man sige at næsten alle har tillid nok til systemerne, til at fyre deres samlede indtægt og forbrug igennem dem

Er der et alternativ, når alle danske offentlige udbetalinger ifølge lov skal ske via en NemKonto?

14
20. maj 2021 kl. 11:16

at de ikke har tillid til, at it-sikkerheden er i orden, når det kommer til statens kritiske it-systemer.

Man skal svare på en 1-5 skala om man har tillid til ovenstående.

Og ved respondenterne hvad "statens kritiske it-systemer" er?

Ved respondenterne af hvem or hvorledes og hvor forskelligt de over 500 systemer driftes?

Har man tillid til ingen af dem?

Ved man hvilke foranstaltninger, der er foretaget for hvert system?

Er respondenterne svar en gennemsnits fornemmelse for alle disse systemer? Eller er det laveste tillidsscore blandt alle systemerne?

Analysen af svarene på netop det spørgsmål er helt aldeles ganske ligegyldig. Det er et udtryk for den gennemsnitlige sunde skepsis, og har ikke en hat med systemernes faktuelle niveau at gøre.

Ja, der er mange legacy systemer derude, og ja, du kan ringe til enhvert it-revisionsfirma og for 2.500 dask per time få at vide, at "systemerne bør opdateres til gængse diverse versioner". Men det siger ikke nødvendigvis noget om, hvad man har foretaget sig for, i rimelig grad, at sikre et legacy system.

Center for Cybersikkered beskriver truslen fra cyberkriminalitet som ‘meget høj’

På hvilken skala?

Ja, har man noget af værdi, herunder infrastrukturel værdi, så er det værd for nogen at stjæle eller smadre.

Men har vi set eksempler på nogen, som har hacket sig ind i Skat og udbetalt penge til sig selv? Er der eksempler på hacking af straffeattester? Eller sundhedsjournaler?

Og i så fald. Er det bulk og dagligt, eller er det enkelte tilfælde, som har medført forbedring af sikkerheden?

Jo da, f.eks. har Nemid / Eboks, tydelig vis dårlige og ikke sikre nok elementer i deres produkt, og det skal forbedres. Men trods det, må man sige at næsten alle har tillid nok til systemerne, til at fyre deres samlede indtægt og forbrug igennem dem.

12
20. maj 2021 kl. 10:15

Når man i en anden artikel kan læse om hvordan IT projekterne konsekvent overskrider budgetterne med to-tre cifrede millionbeløb, <strong>så er det bare ikke nemt at komme og bede om nogle millioner til sikkerhed</strong> eller teknisk opgradering.

Problemet er vel netop, at sikkerhed i mange år blev (og stadig bliver) opfattet som en sovs man kan hælde udover bagefter. Sikkerhed skal medtænkes i hele systemudviklingsprocessen. Der må ikke være en post i budgettet som hedder "sikkerhed" - på samme måde som der ikke må være en post som hedder "unit tests", "kildekode-styring" eller "indtastning på keyboard". Der kan godt være en sikkerhedsansvarlig - men denne person skal primært sørge for, at alle de andre tænker sikkerhed ind i deres opgaver.

11
20. maj 2021 kl. 08:49

...den konsekvente insisteren på at NemID er sikker (fra de ansvarlige politikere og leverandører) på trods at det var bevist at systemet er hullet. (og der er INTET som tyder på at afløseren bliver meget bedre).

DigitalPost med konceptet "besked er læst når besked er leveret i borgerens DigitalPost".

Overvågning af sagesløse borgere uden grund og med konsekvente "problemer" med sletning af data.

Statslige IT projekter hvor budgetet vokser til 5x tilbud og/eller som aldrig bliver færdige - det er trods alt foks penge som bliver misbrugt.

Hvor skal tilliden komme fra?

De her ting har INTET med IT som teknologi at gøre - det er alt sammen menneskelige fejl, som kunne være undgået hvis hjernen blev aktiveret hos de ansvarlige før hele processen blev startet.

10
20. maj 2021 kl. 08:30

Det handler ikke altid kun om penge men også idioti undskyld mit sprog men ja....de fleste " IT professionelle" inden for it og sikkerhed " er langt fra "professionelle" i det danske marked men bare nogen der snakker og tror at det er smart at koble alt på nettet med standard login... Det ret skræmmende..

Og så er der selvfølgelig også de få der rent faktisk prøver at gøre noget Men de er somregel ikke hørt før skaden er sket desværre

9
19. maj 2021 kl. 19:52

at jeg ikke stolte på undersøgelsen, men så vidste det sig at det ikke var en offentlig myndighed så 1/3 er nok meget rigtigt.

Gad vide om det i undersøgelsen, når folk svarer "ved ikke", betyder at man har tillid...

8
19. maj 2021 kl. 14:23

hvis du overholder ISO/IEC 27001

Det kan man jo ikke bare gøre for denne standard er jo ikke noget du kan overholde. Det er bare et rammeværk for hvordan du med fordel kan strukturere dit sikkerhedsarbejde, men de kontroller som du implementerer eller ikke implementerer skal du jo selv vælge med udagngspunkt i dit risikobillede.

7
19. maj 2021 kl. 13:50

De har bestemt ikke styr på særlig meget sikkerhed på mange offentlige steder.. har arbejdet et kommunalt sted hvor computerne stod tændt om natten og koblet på internettet fordi de er for dovne til at slukke deres maskine med følsomme data på

Og de valgte hellere ikke at reagere da jeg sagde til dem at det var en dårlig idé at have dem tændt

5
19. maj 2021 kl. 13:02

Når man i en anden artikel kan læse om hvordan IT projekterne konsekvent overskrider budgetterne med to-tre cifrede millionbeløb, så er det bare ikke nemt at komme og bede om nogle millioner til sikkerhed eller teknisk opgradering.

Sikkerhed er altid en underskudsforretning: Hvis du bliver ramt af et angreb, så koster det kassen. Og hvis du ikke bliver ramt af et angreb, så har du brugt en masse penge uden at cheferne kan pege på at de har fået noget ud af det.

Det er min enkle forklaring på at sikkerhed først opfattes som vigtigt når man er blevet ramt første gang.

4
19. maj 2021 kl. 12:11

To tredjedele lever I en uvidende drømmetilstand. Måske fordi CFCS har bildt folk ind, at hvis du overholder ISO/IEC 27001, så er den hellige grav velforvaret.

3
19. maj 2021 kl. 11:58

Det forekommer mig, at det reelle problem er for mange legacy IT-systemer i staten med manglende moderne sikkerhed, og staten - som en anden læser påpeger - har et IT-sikkerheds rekruteringsproblem.

2
19. maj 2021 kl. 11:21

Passer det ikke meget godt med hvor stor en andel af danskerne der faktisk har et eller andet niveau af ansvar for en eller flere computere ?

1
19. maj 2021 kl. 11:18

Staten er generelt ramt af en rekruteringskrise inden for IT sikkerhed, da de sjældent kan tilbyde sammenlignelige kompensationer.

Samtidig er det politiske fokus på området beskedent så det er næppe det der står højest på resultatlisten.

Når man til det lægger at selv store og forventeligt professionelle aktører på det private marked er blevet ramt gentagende gang, så er det vel bare et spørgsmål om tid.