It-sikkerheden hos otte statslige myndigheder får alvorlig kritik af Rigsrevisionen

Illustration: leowolfert/Bigstock
Der er ikke styr på sikkerheden i blandt andet selskabsskattesystemet og Rigspolitiets kriminalregister. Ingen af de undersøgte myndigheder beskytter borgere og virksomheders følsomme oplysninger tilstrækkeligt, afslører undersøgelse.

Det er utilfredsstillende, at de statslige institutioner ikke beskytter fortrolige oplysninger om personer og virksomheder tilstrækkeligt.

Sådan lyder konklusionen på en undersøgelse, som Rigsrevisionen har foretaget af Skat, Rigspolitiet, Forsvarskommandoen, Socialstyrelsen, Sundhedsstyrelsen, Arbejdsskadestyrelsen, Institut for Menneskerettigheder og Danmarks Statistik. Institutionerne er udvalgt, fordi de alle behandler fortrolige oplysninger om borgere.

Ingen af de undersøgte institutioner efterlever alle de krav til behandling af fortrolige personoplysninger, som de ellers er forpligtede til i henhold til sikkerhedsbekendtgørelsen i persondataloven ifølge rapporten.

»Selv institutioner som Danmarks Statistik, Rigspolitiet og Skat, der er vant til at håndtere store mængder fortrolige oplysninger, har i de undersøgte systemer ikke efterlevet sikkerhedsbekendtgørelsens krav på flere punkter,« skriver Rigsrevisionen i rapporten.

Systemerne, som blev undersøgt, gemmer blandt andet på oplysninger om arbejdsskader, sygdomme, kriminalitet, lægebesøg, løn og fravær, sociale forhold, personlig medicin, virksomheders skatteoplysninger m.m.

Læs også: Offentlige myndigheder sender personfølsomme oplysninger med ukrypteret mail til forkerte modtagere

Socialstyrelsen får bundkarakter

Mens ingen af de undersøgte myndigheder lever op til alle kravene i loven, så er det i Socialstyrelsen, det står værst til med sikkerheden. På 9 ud af 11 undersøgte punkter lever styrelsen ikke tilfredsstillende op til sikkerhedskravene. Blandt andet bliver der ikke fulgt op på afviste adgangsforsøg til it-systemerne, der mangler aftaler med databehandlerne, og der er ingen retningslinjer for tilsyn med sikkerheden.

Institut for Menneskerettigheder skraber også bunden af listen med i alt syv utilfredsstillende punkter på listen. Lige herefter kommer Skat, Rigspolitiet og Danmarks Statistik, der alle fejler på seks af de undersøgte punkter. Blandt andet mangler der regelmæssig kontrol med brugeradgangen hos Rigspolitiet og Skat. Ingen af de tre myndigheder har retningslinjer for tilsyn med sikkerheden.

Forsvarskommandoen klarer sig »bedst« i undersøgelsen med i alt 2 utilfredsstillende forseelser ud af 11 mulige.

Især fejler myndighederne med regelmæssigt at opdatere retningslinjerne for at sikre personoplysninger. Det er der ingen af de undersøgte institutioner, der gør. Ligeledes er der heller ingen - Forsvarskommandoen undtaget - som har retningslinjer for tilsyn med it-sikkerheden.

Det kniber også med jævnligt at kontrollere brugeradgangen til systemerne, slette logregistreringerne samt at følge op på databehandleraftaler.

Rigsrevisionens undersøgelse foregik i perioden mellem januar og maj 2014.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Steen Bernt

Manglende konsekvenser er jo i hvert fald en interessant pointe at notere sig i forlængelse at undersøgelsen. For det jo rigtigt - der er ikke umiddelbart nogle konsekvenser af ikke at efterleve persondataloven.
Men det skal vise sig om resultaterne af undersøgelsen glemmes. Folketingets retsudvalg har nedsat en arbejdsgruppe som skal undersøge mulighederne for en bedre beskyttelse af personoplysninger. De samler i øjeblikket information sammen og forventes senere på året at komme med forslag som kan forbedre sikkerheden. Så hvem ved, måske det kommer til at indgå i udvalgets overvejelser.
Steen

  • 4
  • 0
Henrik Schack

Nu stod der jo i artiklen:
-klip-
Ingen af de undersøgte institutioner efterlever alle de krav til behandling af fortrolige personoplysninger, som de ellers er forpligtede til i henhold til sikkerhedsbekendtgørelsen i persondatalovens ifølge rapporten.
-klip-

Og reaktionen foreløbig siger du er at folketinget har nedsat en arbejdsgruppe der skal kigge på sagen, er vi så ikke allerede igang med at glemme sagen ?

Hvorfor ikke bare sende dem en frisk kopi af sikkerhedsbekendtgørelsen og en besked om at nu er det alvor.

  • 14
  • 0
Henrik Christensen

lov er lov og lov skal overholdes, konsekvenser, eksemplets magt, respekt for loven, jo ikke for sjovs skyld, meget alvorligt...

Eller lyder det lidt som Olsen Bandens karrikerede strømere, hvor det alligevel er ministerens vægtning af ro omkring hans taburet det tæller mest?

Lov uden konsekvens ved brud på loven er spild af alles tid og bør fjernes...

  • 11
  • 0
Steen Bernt

Fortolkning og kompleksitet er vel især et problem når ansvaret fordeles over flere/mange organisationer. Altså fx når en organisation stiller data til rådighed for flere andre organisationer, uden dog selv at eje eller have produceret data. I disse tilfælde er kompleksiteten høj, og så skal man holde tungen lige i munden.

Men i en virksomhed som alene anvender egne data (og som måske benytter en ekstern databehandler), så er kompleksiteten vel begrænset, hvis man sammenligner med kompleksiteten i så mange andre opgaver?

  • 2
  • 0
Jens Jönsson

Når vi snakker det offentlige, så handler det i bund og grund om penge. Der >skal< dø flere hundrede før man begynder at reagere.

Der er ikke afsat nok på budgetterne til at beskytte fortrolige personoplysninger, man ellers er forpligtet til i henhold til sikkerhedsbekendtgørelsen i persondataloven....

  • 3
  • 0
Finn Christensen

Manglende konsekvenser er jo i hvert fald en interessant pointe at notere sig i forlængelse at undersøgelsen. For det jo rigtigt - der er ikke umiddelbart nogle konsekvenser af ikke at efterleve persondataloven.

Hele bundtet fortsætter da troligt med at sætte nye skibe i søen i digitaliseringens hellige navn.

Og da deres herre og mester, Folketinget, desværre endnu lider under et fælt tilfælde af Bramsen-Vestager syndromet, så leger administrationen troligt videre med tilfældigt generelt itSovs(TM) under streng iagttagelse af OKUK (Offentligt Kuk Uden Konsekvens).

Tænk sig hvis Folketinget stoppede med nyt itSovs(TM) (som de ikke du'r til) blot et år, og i stedet brugte pengene og kræfter på at lappe huller og at uddanne de ansatte - så lidt skal der til at få ændret slendrian..

  • 2
  • 0
Ebbe Hansen

Poul Sørensen: Grå invasion (1942)

Huset lå gemt for blæsten
skærmet af bøg og lind.
Selv i den værste stormnat
sov man med roligt sind.
Derfor kom rotterne ind.

Inde var alting velstand.
Manden var glad og trind.
Skinkerne hang på loftet.
Fløden samlede skind.
Derfor kom rotterne ind.

Huset var godt, men gammelt.
Træ får med tiden svind.
Bindingsværket var trøsket.
Døren var skæv og vind.
Derfor kom rotterne ind.

Manden var mild og tålsom:
»Pusler det ikke? – Bind
endelig lænkehunden!«
sagde det rare skind.
Derfor kom rotterne ind.

Nævnte man rottefaren,
strøg han med smil sin kind:
»Rotter … Hæ, hvem ser rotter?
Det er vist hjernespind!«
– Derfor kom rotterne ind.

Fordi stegerset bugned,
fordi fløden trak skind,
fordi træet var trøsket,
fordi døren var vind,
fordi hunden var bundet,
fordi manden var blind,
fordi ingen var vågen,
KOM
ROTTERNE
IND!

  • 6
  • 1
Jesper Frimann

@Jens Jakob Andersen

Jeg er meget enig. Sikkerhedsbekendtgørelsen er ikke meget bevendt, med mindre man sikrer sig, at der faktisk ligger 'noget' neden under.
Det er jo lidt til grin når man får en grøn prik i 'Er der en aftale med Databehandleren', når der nu ikke er meget konkrete krav til, hvad der skal stå, eller at dette er et standard dokument, der faktisk sikrer at databehandleren udfører databehandlingen korrekt.

Hvis vi skal drage en erfaring fra hele CSC sagen så er det jo, at datasikkerheds området i mange offentlige chefers og politikeres øjne er omgivet af et ret stærkt SEP felt.

http://en.wikipedia.org/wiki/Somebody_Else's_Problem

F.eks. forstod jeg aldrig hvorfor man afskaffede IT-arkitekt og kvalitets funktionen i Statens IT. Men det er måske bare, fordi jeg ikke er enig i den krig mod 'faglighed', som man åbenbart fører fra centraladministrationen.

// Jesper

  • 4
  • 0
Henrik Bøgh

Og hvad er konsekvenserne? Er der nogen der er blevet fyret, eller måske endda meldt til politiet hvis det er ekstra groft?

Mit gæt er at det er der ikke, og at det derfor ikke bliver bedre.


Alle problemer kan ikke løses med fyringer. Konsekvenserne fremgår faktisk af beretningens side 23. Men nogle gange er problemet også, at der er mennesker er forskellige, har forskellige prioriteter og fortolker problemstillinger på forskellig vis.

Tag nu punktet med årlig opdatering af retningslinjerne, som samtlige institutioner scorer 'ikke tilfredsstillende' i. I beretningen fremgår det at ingen af institutionerne "havde opdateret alle retningslinjer inden
for det seneste år, som de skal ifølge sikkerhedsbekendtgørelsen". Men sikkerhedsbestemmelsen (§5, stk.2), siger sådan set blot at de skal gennemgås, og måske er det sådan det er blevet fortolket rundt omkring?

Selvfølgelig skal retningslinjerne være korrekte og afspejle de faktiske omstændigheder, men det er ikke altid en absolut videnskab at fortolke retningslinjer, vejledninger o.s.v. og i og med, at der ikke er noget "super-organ" i Staten, der kan vejlede med disse ting, så er det altså op til de enkelte, hvordan de griber tingene an, og rigsrevisor Lone Strøm har her valgt een fortolkning, mens man andre steder har valgt en anden. Det forklarer naturligvis ikke alle punkterne, men min pointe er såmænd også blot, at nogle gange er handleplaner og vejledning bedre end fyring.

F.eks. forstod jeg aldrig hvorfor man afskaffede IT-arkitekt og kvalitets funktionen i Statens IT.


Ifølge den daværende direktør i Statens IT (som i øvrigt sjovt nok er samme Lone Strøm som er nævnt ovenfor), så var tanken at arkitekturfunktionen skulle bindes op på Ministeriernes Projektkontor, som blev flyttet over i et andet ministerområde. D.v.s. at den skulle være forankret hos Kontor for grunddata og it-arkitektur hos Frelle-Petersen & Co.

  • 2
  • 0
Jesper Frimann

@Henrik Bøgh

Jo jo, og 'sikkerhed' ligger i Center for systemforvaltning og Sikkerhed. Hvis man besøger deres hjemmeside, får man ikke ligefrem indtrykket af, at det er sikkerheden der lige er deres 'core business'.

Sikkerhed burde være et selvstændigt område. Og man skal være en flue k****** når det kommer til sikkerhed, for det er lidt med sikkerhed, som det er med mus og et fadebur. Bare der er et hul skal 'de' nok komme ind.

Derfor er det vigtigt at sikkerhed designes ind i systemerne fra starten, og at man reviewer de løsninger, i det mindste den implementerede arkitektur, man har outsourced.
Det nytter jo ikke, at man til et system med personfølsomme data, har styr på alt på nær backup, som måske er ukrypteret og ryger i en en backupcloud, der bliver driftet fra Ukraine.

Tja ja.

// Jesper

  • 5
  • 0
Janus Sandsgaard

Der kan siges meget frem og tilbage om "Smiley-oversigten" med de otte myndigheder og de 11 målepunkter.

Danmarks Statistik får ekstra ord med på vejen af Rigsrevisionen:

"Danmarks Statistik behandler mange oplysninger om alle danskere, men registrerer ikke medarbejdernes opslag i overensstemmelse med sikkerhedsbekendtgørelsens krav. I praksis betyder det, at Danmarks Statistik ikke kan spore, om en medarbejder har foretaget et uberettiget opslag, hvis der fx er lækket oplysninger om en persons tidligere domme"
(konklusion, side 2)

Særligt interessant med forløbet, som strækker sig tilbage fra 2011:

"(...) Rigsrevisionen fremsendte revisionsrapporten til Danmarks Statistik i juni 2011. På et møde mellem Danmarks Statistik og Datatilsynet blev Datatilsynet gjort bekendt med, at der forelå en it-revisionsrapport fra Rigsrevisionen, som satte spørgsmålstegn ved, om sikkerhedsbekendtgørelsen var opfyldt. Danmarks Statistik sendte ikke rapporten til Datatilsynet. Rigsrevisionen rykkede i juli 2012 Danmarks Statistik for status i sagen. Danmarks Statistik oplyste, at sagen var afklaret med Datatilsynet, som ikke havde bemærkninger til Danmarks Statistiks praksis. Rigsrevisionen rettede henvendelse til Datatilsynet i november 2012 for at få uddybet begrundelsen for Datatilsynets konklusion. Datatilsynet oplyste, at Datatilsynet ikke havde fået forelagt problemstillingen, som den var omtalt i revisionsrapporten. Datatilsynet havde derfor ikke taget stilling til, om Danmarks Statistik loggede i overensstemmelse med sikkerhedsbekendtgørelsens bestemmelse"
(side 12).

Mvh
Janus

  • 4
  • 0
Log ind eller Opret konto for at kommentere