Skarp kritik af sikkerheden i Statens It og flere ministerier

Illustration: leowolfert/Bigstock
Ingen anede, hvem der havde ansvaret for sikkerheden, efter Statens It overtog opgaverne fra en rækker ministerier i 2010. 14 ud af 14 stikprøver får dumpekarakter fra Rigsrevisionen.

Der er blevet sløset alvorligt med it-sikkerheden, efter Statens It i 2010 overtog it-drift fra otte ministerier. Ingen var nemlig klar over, hvor ansvaret for it-sikkerheden havnede, og derfor arbejdede Statens It i årevis med sikkerhedsinstrukser fra kunderne, som aldrig blev opdateret, og uden en samlet risikoanalyse.

Sådan lyder kritikken fra Rigsrevisionen, som har kigget nærmere på it-sikkerheden hos 14 af Statens It’s kunder, blandt de i alt 80 statslige institutioner, som har overladt it-driften til det fælles selskab.

Ingen af de 14 institutioner, der blev taget ud som stikprøver, havde en tilfredsstillende styring af it-sikkerheden, lyder konklusionen.

»Virksomheder tilsluttet Statens It har efter 2 års drift endnu ikke tilrettelagt en tilfredsstillende styring af it-sikkerheden. (…) Rigsrevisionen finder det uheldigt, at virksomhederne ikke havde en tilfredsstillende styring af it-sikkerheden i og omkring de systemer og data, som de var ansvarlige for,« skriver Rigsrevisionen i den årlige revision af statens regnskab, der udkom midt i november.

Tabte data på grund af elendige backup-procedurer

Konsekvenserne er, at risikoen for hackerangreb, tabte data og nedbrud er steget, vurderer Rigsrevisionen. For når de enkelte institutioner ikke selv tager ansvar og tjekker, at behandlingen af data hos Statens It er i orden, kan der hurtigt opstå misforståelser og svipsere.

»Virksomhederne vedligeholdt ikke den dokumentation for backup, man havde overdraget til Statens It. Og så risikerer virksomhederne, at der er systemer og data, som der ikke bliver taget backup af,« fortæller Michael Kubel, kontorchef i Rigsrevisionen.

Netop den situation var en af de undersøgte ministerier og styrelser tidligere havnet i, viste undersøgelsen.

»Der var en (offentlig, red.) virksomhed, hvor man havde tabt nogle data og havde brug for en restore - men virksomheden havde ikke meldt det system ind til Statens It. Så havde virksomheden ikke backup af de data, som man skulle bruge til restore af data. Det lærte de af, og nu følger de punktligt op,« forklarer Michael Kubel til Version2.

Lemfældig omgang med persondata

Det var ikke en del af undersøgelsen at tjekke, hvad der blev taget backup af, og hvor stort problemet var med vigtige data, som ikke blev sikkerhedskopieret.

Men Rigsrevisionen kunne se, at kun nogle af de undersøgte institutioner fulgte op på, hvilke data Statens It skulle sikre. Og ingen af virksomhederne havde en sammenhængende og opdateret dokumentation for retningslinjer og procedurer, der skulle følges, og som fortalte Statens It, hvad der skulle tages backup af.

Behandlingen af persondata fulgte heller ikke reglerne, for det er de enkelte institutioner, som er ansvarlige for, at disse fortrolige data bliver behandlet sikkert, og som skal tjekke, at Statens It gør det godt nok. Det gik galt allerede ved skiftet til Statens It, for det regneark med en liste over systemer med persondata, som Statens It havde fået, var aldrig blevet behandlet som en officiel instruks fra kunderne.

Siden da havde ingen af de undersøgte institutioner bedt om en løbende orientering om, hvordan Statens It tog vare på systemerne med persondata.

Flere gange bundkarakter

Selvom det betyder store ændringer, når man går fra selv at stå for it-driften, og til at lade en ekstern aktør drive systemerne, havde kun én af de undersøgte institutioner fået opdateret sine procedurer for sikkerhedshændelser, for eksempel et hackerangreb. Og kun én af institutionerne havde en tilfredsstillende og opdateret beredskabsplan, skriver Rigsrevisionen.

På en samlet skala over de undersøgte steders modenhed inden for it-sikkerhed, blev det da også til bundkarakterer på mange områder.

På en skala mellem 1 og 5, hvor 3 altså er midterste karakter, lå de undersøgte ministerier og styrelser under 3 på syv ud af otte områder. ’Backup’ og ’Generel sikkerhed’ blev vurderet lavest med 1,9 ud af 5 point.

Den lave modenheds-score overrasker Rigsrevisionen, som skriver, at forventningen til staten lå på et gennemsnit omkring 4 point.

Selvom det er Statens It, der i it-sammenhæng er storebror, er det stadig de enkelte kunder hos Statens It, som har det endelige ansvar for, hvordan sikkerheden er, forklarer Michael Kubel.

»Kritikken er rettet mod virksomhederne, som har ansvaret, uanset hvem de overlader opgaven til. Men det er en opgave, der skal løses i et samarbejde mellem Statens It og kunderne,« siger han.

Læs også: Dokumentation: Så hård er Rigsrevisionens dom over den offentlige it-sikkerhed

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize