Der har været alvorlige problemer med it-sikkerheden i Skats SAP-systemer, der behandler fortrolige oplysninger om borgere og virksomheder.
Skat har outsourcet it-driften af de fleste systemer til forskellige leverandører, og eksempelvis har brugere hos Skats driftsleverandører haft rettigheder til at slå logning fra og til og til at slette eksisterende logfiler.
Det fremgår af Rigsrevisionens nye beretning (PDF) om revision af statsregnskabet for 2017. Det er det samlede regnskab for de 19 ministerier.
Miseren med for brede brugerrettigheder 'medfører risiko for, at brugerne kan slette egne spor', skriver Rigsrevisionen i beretningen.
Fejlen er opstået, 'fordi Skat tildeler rettigheder manuelt, og fordi der ikke er automatisk integration mellem SAP og brugerrettighedssystemet,' skriver Rigsrevisionen, der kalder situationen for utilfredsstillende.
Risikoen er at det bl.a. medfører 'risiko for uautoriseret adgang samt manglende sporbarhed og funktionsadskillelse.'
»Det medfører risiko for, at brugerne kan have rettigheder i SAP, der ikke fremgår af de lister fra brugerrettighedssystemet, som de pågældende chefer skal godkende halvårligt.«
Revisionen har undersøgt systemerne SAP 38, SAP PS, SAP DMO og SAP Intern.
Den er også gal med håndteringen af password til SAP-systemerne. De skiftes for sjældent, når det gælder eksterne brugere, f.eks. hos driftsleverandørerne.
Det betyder, at eksterne brugere i SAP aldrig automatisk bliver tvunget til at skifte password, lyder det.
»Rigsrevisionen finder det utilfredsstillende, at Skats procedurer for passwords i og omkring de reviderede SAP-systemer ikke følger god praksis, da det bl.a. medfører risiko for, at interne brugere eller hackere kan udnytte svagheder.«
Driftsfolk har kunnet omgå funktionsadskillelse
Endelig har et stort antal af driftsleverandørernes brugere desuden haft rettigheder til at gøre alt i SAP DMO, og brugerne af det system har dermed været i stand til at omgå al funktionsadskillelse, som skal sikre, at samme person ikke kan oprette og godkende fakturaer.
»Det betyder fx, at samme medarbejder både kan oprette og godkende fakturaer, uden at systemet automatisk forhindrer det. Der er således risiko for, at fakturaer fejlagtigt er blevet godkendt til betaling,« fremgår det af beretningen.
Vi har dog ikke fundet eksempler på, at brugere har omgået funktionsadskillelsen, beroliger Rigsrevisionen. Men det kan også være noget nær umuligt, hvis logs slettes eller blev slået fra, inden eventuelle ugerninger blev ført ud i livet.
I alt benyttede det nu lukkede Skat ca. 200 forskellige komplekse og forretningskritiske it-systemer, som behandler fortrolige oplysninger om borgere og virksomheder.
Skat anvender bl.a. systemerne til at understøtte registrering af punktafgifter, selskabsskatter og tilgodehavender samt til at aflægge internt regnskab blandt andet.
Skat har oplyst, at der efter transitionen til en anden driftsleverandør ikke længere tildeles for brede rettigheder i SAP DMO.
Den 1. juli 2018 blev Skat erstattet af syv nye specialiserede styrelser med hver deres kerneopgave.