Rigsrevisionen kritiserer mangelfuld logning hos Finanstilsynet og Social- og Indenrigsministeriet

Illustration: Virrage Images/Bigstock
Seks offentlige virksomheder får kritik af Rigsrevisionen for dårlig logning.

I sin beretning for statsregnskabet 2015 kritiserer Rigsrevisionen seks offentlige virksomheder (PDF) for mangelfuld logning.

Rigsrevisionen har undersøgt logningen hos Statens It, Finanstilsynet, Forsvarets Koncernfælles Informatiktjeneste, Domstolsstyrelsen, Sundhedsdatastyrelsen og Social- og Indenrigsministeriet (dvs. Koncern IT under departementet).

Rigsrevisionens beretning er offentliggjort i september i år. De seks virksomheder er fordelt på forskellige ministerområder, og de har alle ansvar for it-systemer med fortrolige oplysninger.

»Rigsrevisionen vurderer, at virksomhedernes logning og overvågning har mangler. Virksomhederne risikerer hermed i højere grad at blive udsat for misbrug af data og it-systemer, uden at de opdager misbruget og kan reagere effektivt på det. Alle de undersøgte virksomheder er dog opmærksomme på behovet for at styrke indsatsen på dette område og er i gang med forbedringer,« skriver Rigsrevisionen i sin konklusion på baggrund af undersøgelsen.

Statens It og Forsvarets Koncernfælles Informatiktjeneste er nået længst

I den forbindelse bliver det bemærket, at Statens It og Forsvarets Koncernfælles Informatiktjeneste er nået længst med deres indsats.

Men det bliver også bemærket, at virksomhederne ikke har et tilstrækkeligt overblik over de store mængder logdata, der automatisk bliver skabt i deres it-systemer.

Og så oplyser Rigsrevisionen, at virksomhederne ikke har taget specifikt stilling til logning og overvågning på strategisk niveau ud fra aktuelle risici, f.eks. i risikovurderinger.

»Forsvarets Koncernfælles Informatiktjeneste og Statens It har dog et bedre overblik over deres logning end de øvrige fire virksomheder. Finanstilsynet har i slutningen af 2015 iværksat et arbejde, der har til formål at skabe overblik over virksomhedens aktuelle logning,« står der i konklusionen.

Af beretningen fremgår det også, at at Forsvarets Koncernfælles Informatiktjeneste overvåger alle relevante logdata med henblik på at opdage unormal aktivitet.

Og Statens It og Sundhedsdatastyrelsen overvåger begge deres brugeradministrationssystemer for at opdage unormal aktivitet, men overvåger endnu ikke alle de systemer, de selv vurderer er relevante.

»De øvrige tre virksomheder – Finanstilsynet, Domstolsstyrelsen og Social- og Indenrigsministeriet – bruger kun logningen aktivt til at overvåge få systemer. Det øger risikoen for, at misbrug ikke bliver opdaget, f.eks. hackerangreb. Finanstilsynet og Social- og Indenrigsministeriet har samtidig ikke sikret, at alle logdata opsamles og opbevares et centralt sted. Det vanskeliggør i høj grad både effektiv overvågning og efterfølgende analyser af eventuelle hændelser.«

»… problem for Finanstilsynet og Social- og Indenrigsministeriet«

Derudover bemærkes det, at Statens It har begrænset antallet af administratorer, der har adgang til logdata.

Men de øvrige fem virksomheder – Domstolsstyrelsen, Forsvarets Koncernfælles Informatiktjeneste, Sundhedsdatastyrelsen, Finanstilsynet og Social- og Indenrigsministeriet – har ifølge Rigsrevisionen imidlertid et uforholdsmæssigt stort antal administratorer, som har adgang til logdataene.

»Det er især et problem for Finanstilsynet og Social- og Indenrigsministeriet, som på tidspunktet for undersøgelsen ikke opsamlede kopier af logdata på en central logserver med en højere grad af beskyttelse.«

Center for Cybersikkerhed har tidligere udgivet vejledningen 'Logning – en del af et godt cyberforsvar', som Rigsrevisionen henviser til, og som tidligere har været omtalt på Version2.

Desuden henviser Rigsrevisionen til sikkerhedsstandarden ISO27001, som alle offentlige virksomheder skulle have implementeret i starten af 2016.

Læs også: Fatter du din netværkstrafik? Centraliser dine logs og tag skrammerne alvorligt

»Det er ledelsens ansvar at sikre, at virksomheden tilrettelægger logning og overvågning af sin dataaktivitet. Det bør ske på baggrund af en konkret og aktuel vurdering af risikobilledet. Det baserer vi på den internationale standard for styring af informationssikkerhed, ISO 27001, som alle offentlige virksomheder skal have implementeret primo 2016,« skriver Rigsrevisionen i beretningen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bent Jensen

"Desuden henviser Rigsrevisionen til sikkerhedsstandarden ISO27001, som alle offentlige virksomheder skulle have implementeret i starten af 2016."

Hvad koster det i chefens bonus hvis ISO27001 eller alle data er hacket, eller medarbejder har misbrugt dem som i S&H sagen. Sikkert intet, eller meget lidt. Besparelser via fyringer, tæller nok mere !

Hvis det stod i deres kontrakt at ISO27001 skal overholdes, og at mistet data, eller et hacke, kunne kostet deres bonus. Eller jobbet, som en direkte bortvisning uden pension, løn eller efter vederlag. Så vil det blive taget alvorligt.

Så Længe at de ansvarlige (politikere) ikke får det skrevet ind i nye ansættelse kontrakter, af topleder i det offentlige. Så hjælper alt andet ikke en dyt.

  • 8
  • 0
Anne-Marie Krogsbøll

"»Det er ledelsens ansvar at sikre, at virksomheden tilrettelægger logning og overvågning af sin dataaktivitet. Det bør ske på baggrund af en konkret og aktuel vurdering af risikobilledet"

Er det dyrt/vanskeligt at indføre logning på systemerne? Hvorfor ikke bare have logning på alt?

Når nu flere af institutionerne selv mener, at de ikke er i mål, hvad er det så, der forhindrer, at logning straks indføres i tilstrækkelig grad? Er det et stort projekt?

  • 1
  • 0
Claus Bobjerg Juul

Hvad nytter det at logge alt, hvis loggen ikke kan bruges til noget, fx p.gr.a manglende tidssynkronisering eller at log materialet er så stort at det nærmest er umuligt at håndtere.

Det er nødvendigt at der foretages en risikoanalyse, der belyser, hvad det er (for)målet med loggen skal være og så sørge for at målet nås, ved at implementere logning på de rigtige punkter og at detaljeringsgraden i loggen er tilstrækkelig.

  • 1
  • 0
Claus Bobjerg Juul

sagt på en grotesk måde, så kan ISO 27001 efterleves ved at ledelsen acceptere enhver risiko. ISO 27001 er en risikobaseret tilgang til it-sikkerhed, dvs. at risikovurderingen (incl analyse og SOA) og ledelsens risikoappetit danner grundlag for hvilke foranstaltninger der skal eller ikke skal implementeres.

En jeg kender siger, at resultatløn (bonusløn om du vil) kun sikre én ting, det er at den ansatte gør rigtig meget for at nå målet, alt hvad der ikke har med målet at gøre, bliver nedprioriteret.

I dit eksempel med efterlevelse af "ISO og nul datalæk" vil betjening af borgere nok gå fløjten.

Alt hvad der har med bonus at gøre, er meget svært. Personligt mener jeg at det skulle forbydes.

  • 2
  • 0
Anne-Marie Krogsbøll

Ok - så er det interessante spørgsmål jo, om man overhovedet er i gang med dette forarbejde. Hvis ikke - hvorfor mon så ikke? Men det kan du jo ikke svare på.

Mht. tidssynkronisering så er det vel ikke det væsentligste i forhold til at have kontrol med, hvem der f.eks. henter følsomme persondata. Der skulle man jo tro, at det var forholdsvis enkelt - og vigtigt - at logge. Det fremgår så ikke af artiklen, om der også er mangler der.

  • 0
  • 0
Bent Jensen

Alt hvad der har med bonus at gøre, er meget svært. Personligt mener jeg at det skulle forbydes.


Bortvisning uden løn, eftervederlag og pension vil jeg formode de fleste heller vil undgå, end at prøve at få en bonus.
Den mangleden "kundesupport" som du tror kunne forvinde, på grund af ovenstående, er vel en del af det at passe ens job. Så hvis de negligere det, så skal de vel også bare fyres, for ikke at passe det. Med udformning af en passende kontrakt, har de så ikke været ansat så længe, at de skal have hverken bonus eller eftervederlag.

  • 1
  • 0
Anne-Marie Krogsbøll

..., denne nyhed fra ugeskriftet.dk: http://ugeskriftet.dk/nyhed/3100-laegers-cpr-numre-lagt-paa-amerikansk-h...

For vi får jo altid at vide, at der bliver passet godt på persondata herhjemme? (altså lige bortset fra i Rigsrevisionens rapporter -mærkeligt at de ikke bliver mørklagt).

Hvor kan man mon finde navn og cpr-numre på lige præcis læger? Fra Sundhedsstyrelsens autorisationslister, monstro?

  • 0
  • 0
Log ind eller Opret konto for at kommentere