Rigsrevisionen revser Energinets it-sikkerhed: Gamblede med forsyningssikkerheden
Energinet kontrollerer langt størstedelen af den danske energiinfrastruktur, men sidste år tog den offentlige virksomhed et valg, der ifølge Statsrevisorerne kan kompromittere it-sikkerheden.
I juni 2020 besluttede Energinet at outsource omkring 90 procent af virksomhedens it-systemer på trods af en meget høj risiko for cyberkriminalitet og cyberspionage, skriver Rigsrevisionen i en beretning til Folketinget.
Man har ellers gentagne gange påpeget risikoen overfor Energinet, og derfor udtaler Statsrevisorerne nu kritik:
»Statsrevisorerne kritiserer, at Energinets manglende håndtering af sikkerhedsrisici før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af forsyningssikkerheden, da man i 2020 outsourcede driften af den forsyningskritiske it-infrastruktur. Energinet har således ikke risikovurderet outsourcingen i forhold til, om den sikrede tilstrækkelig offentlig kontrol,« skriver man i beretningen.
Det er allerede gået galt med it-sikkerheden, for Rigsrevisionen har både i 2020 og 2021 fundet alvorlige sikkerhedsbrister, som Energinet ikke har rettet op på.
Derfor opfordrer man i beretningen Klima-, Energi- og Forsyningsministeriet til meget hurtigt at komme med en redegørelse – og helst inden for de næste 30 dage.
Selvom Energinet er forpligtet til at orientere ministeriet om ‘væsentlige forhold i Energinets virksomhed’ har man ikke fortalt om outsourcingen inden udbudsprocessen gik i gang. Derfor har ministeriet ikke kunnet vurdere, om det var en god ide.
Det er dog ikke kun Energinet, som får kritik af Statsrevisorerne. Klima-, Energi- og Forsyningsministeriet har nemlig ikke ført tilstrækkeligt tilsyn med virksomhedens forsyningskritiske it-forhold, står der i beretningen.
Energinet er uenig i kritikken
Selvom virksomheden i en pressemeddelelse erkender nogle af Statsrevisorernes kritikpunkter, står man fast på, at en outsourcing af it-systemerne er med til at højne it-sikkerheden. Her peger man både på samarbejdet med KMD og ‘et af verdens førende firmaer i drift af servere, Kyndryl’.
Som alle andre organisationer i verden, der også har ansvar for samfundskritiske opgaver, er Energinet nødt til at outsource noget af it-driften, uddyber man. Virksomheden løber nemlig hele tiden om kap med ondsindede aktører, fortæller Torben Thyregod, finansdirektør i Energinet:
»Hvad der var godt beredskab i går, er ikke nødvendigvis godt nok i morgen. Derfor finder Energinet – ligesom alle andre organisationer – hele tiden steder, hvor der skal forbedringer til. Det er også sket i forbindelse med, at vi har kulegravet hele området forud for at skulle lave samarbejdsaftalen med KMD, og det er sket i forbindelse med Rigsrevisionens undersøgelse. Der er fundet forbedringspunkter, og vi har løbende forholdt os til det, som Rigsrevisionen har peget på, ligesom vi løbende har forbedret sikkerheden og tilpasset vores processer,« udtaler han i pressemeddelelsen og fortsætter:
»Ingen i verden kan give garantier eller love hacker-sikre systemer, heller ikke Energinet. Men generelt kan jeg sige, at denne aftale skal sikre en effektiv og professionel drift af vores it-infrastruktur og i sidste ende understøtte forsyningssikkerheden af el og gas. Jeg sover roligt om natten, og det kan danskerne også gøre.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
