Rigsrevisionen: Uvedkommende har kunnet få adgang til fortrolige borgerdata i Skat

Illustration: olly2/Bigstock
Ikke nok med at uvedkommende har haft adgang til borgernes fortrolige data - de har også kunnet slette sporene efter sig.

Der har været alvorlige problemer med it-sikkerheden i Skats SAP-systemer, der behandler fortrolige oplysninger om borgere og virksomheder.

Skat har outsourcet it-driften af de fleste systemer til forskellige leverandører, og eksempelvis har brugere hos Skats driftsleverandører haft rettigheder til at slå logning fra og til og til at slette eksisterende logfiler.

Det fremgår af Rigsrevisionens nye beretning (PDF) om revision af statsregnskabet for 2017. Det er det samlede regnskab for de 19 ministerier.

Miseren med for brede brugerrettigheder 'medfører risiko for, at brugerne kan slette egne spor', skriver Rigsrevisionen i beretningen.

Fejlen er opstået, 'fordi Skat tildeler rettigheder manuelt, og fordi der ikke er automatisk integration mellem SAP og brugerrettighedssystemet,' skriver Rigsrevisionen, der kalder situationen for utilfredsstillende.

Risikoen er at det bl.a. medfører 'risiko for uautoriseret adgang samt manglende sporbarhed og funktionsadskillelse.'

»Det medfører risiko for, at brugerne kan have rettigheder i SAP, der ikke fremgår af de lister fra brugerrettighedssystemet, som de pågældende chefer skal godkende halvårligt.«

Revisionen har undersøgt systemerne SAP 38, SAP PS, SAP DMO og SAP Intern.

Den er også gal med håndteringen af password til SAP-systemerne. De skiftes for sjældent, når det gælder eksterne brugere, f.eks. hos driftsleverandørerne.

Det betyder, at eksterne brugere i SAP aldrig automatisk bliver tvunget til at skifte password, lyder det.

»Rigsrevisionen finder det utilfredsstillende, at Skats procedurer for passwords i og omkring de reviderede SAP-systemer ikke følger god praksis, da det bl.a. medfører risiko for, at interne brugere eller hackere kan udnytte svagheder.«

Driftsfolk har kunnet omgå funktionsadskillelse

Endelig har et stort antal af driftsleverandørernes brugere desuden haft rettigheder til at gøre alt i SAP DMO, og brugerne af det system har dermed været i stand til at omgå al funktionsadskillelse, som skal sikre, at samme person ikke kan oprette og godkende fakturaer.

»Det betyder fx, at samme medarbejder både kan oprette og godkende fakturaer, uden at systemet automatisk forhindrer det. Der er således risiko for, at fakturaer fejlagtigt er blevet godkendt til betaling,« fremgår det af beretningen.

Vi har dog ikke fundet eksempler på, at brugere har omgået funktionsadskillelsen, beroliger Rigsrevisionen. Men det kan også være noget nær umuligt, hvis logs slettes eller blev slået fra, inden eventuelle ugerninger blev ført ud i livet.

I alt benyttede det nu lukkede Skat ca. 200 forskellige komplekse og forretningskritiske it-systemer, som behandler fortrolige oplysninger om borgere og virksomheder.

Skat anvender bl.a. systemerne til at understøtte registrering af punktafgifter, selskabsskatter og tilgodehavender samt til at aflægge internt regnskab blandt andet.

Skat har oplyst, at der efter transitionen til en anden driftsleverandør ikke længere tildeles for brede rettigheder i SAP DMO.

Den 1. juli 2018 blev Skat erstattet af syv nye specialiserede styrelser med hver deres kerneopgave.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Hansen

Den er også gal med håndteringen af password til SAP-systemerne. De skiftes for sjældent, når det gælder eksterne brugere, f.eks. hos driftsleverandørerne.

Det betyder, at eksterne brugere i SAP aldrig automatisk bliver tvunget til at skifte password, lyder det.

»Rigsrevisionen finder det utilfredsstillende, at Skats procedurer for passwords i og omkring de reviderede SAP-systemer ikke følger god praksis,

Det er ikke god praksis at tvinge brugerne til at skifte password ofte. Det er god praksis at bruge tofaktor-sikkerhed.

At Rigsrevisionen er af en anden opfattelse er beskæmmende og vidner om, at de tilsyneladende ikke følger udviklingen i de internationale retningslinjer og anbefalinger på området.

Enhver idiot kan da sige sig selv, at hvis man tvinger vilkårlige medarbejdere og leverandører til at skifte password ofte, så finder de på noget, der er let eller også skriver de det ned for at huske det.

  • 9
  • 2
Anne-Marie Krogsbøll

....."Korruption, svindel, kriminalitet", uden at det er injurierende?

Det her stinker simpelthen helt til månen - og så sidder man her som almindelig borger, og kan ikke gøre ret meget. Vi har lige skullet lægge ryg til, at Finanstilsynet har ladet Danske Bank Estland sagen ligge i årevis, indtil de nu nødtvunget er blevet nødt til at forholde sig til den. Vi har på ingen måde styr på moms-refusionssagerne, og skattelysagerne osv. Og nu dette??????

Hvis ikke der ryger (store og vigtige!) hoveder nu - enten pga. mistanke om grov, grov svindel, eller pga. bevisligt fuldstændig inkompetence mht. at bestyre landets skattesystem, så er det meget svært at leve med som borger. Så må vi på barrikaderne, for vi er simpelthen (også her) til grin for pengemænd og deres håndlangere - og embedsfolk i det offentlige, som enten ikke kan eller ikke vil sætte en stopper for galskaben.

Fnys. Fnys. Fnys, Fnys. Fnys.

Det er ikke til at bære. Og når de ikke engang kan finde ud af at passe på data i Skat, hvorfor skal vi så ustandseligt høre på, at de skam kan finde ud af det alle mulige andre steder, eks. sundhedsdata, genomcenter, statsovervågning osv.?

Styres vores land indirekte af en stor samling svindlere?

  • 10
  • 2
Bo Andersen

Jamen hovsa da dada....

Vi får jo ellers konstant at vide, at alting bliver bedre, hurtigere, billigere og mere sikkert, hvis bare driften af IT udliciteres til det private og at de bare er bedre til ALTING, ude i det private.

Mange økonomer (private, såvel offentlige) regner sig osse frem til, at det er bedre for virksomheden at kanalisere penge ud af virksomhed (til eksterne leverandører), end at beholde pengene, kompetencerne og kontrollen med opgaveløsningen i egen rækker. Men så kan cheferne jo osse bekvemt pege på andre end den selv, når tingene går galt, hvilket er yderst karrierefremmende.

  • 1
  • 1
Claus Bobjerg Juul

Det er ikke god praksis at tvinge brugerne til at skifte password ofte. Det er god praksis at bruge tofaktor-sikkerhed.

Hvis nu 2-faktor ikke er en mulighed og praksis har været passwords på 3 karaktere, er det så ok ikke at skifte passwords.

Hvad nu hvis password længden var 6, hvad med 7 eller 8 eller 9?

Jeg vil mene at passwords skal skiftes lidt hurtigere end hvad det tager at beregne hash værdien af et givent password.

Det betyder at på windows skal passwords på 8 karaktere skiftes hvert 5. time.

  • 0
  • 1
Claus Bobjerg Juul

Mange økonomer (private, såvel offentlige) regner sig osse frem til, at det er bedre for virksomheden at kanalisere penge ud af virksomhed (til eksterne leverandører), end at beholde pengene, kompetencerne og kontrollen med opgaveløsningen i egen

Jamen det er bedre, set med kortsigtede finansielle briller, du får trods alt et bedre (ensartet) cashflow (ikke en kæmpeudgift på en gang) og i tilfælde af konkurs, svære tider eller total omlægning af forretning kan du slippe af med dødvægt.

Spørgsmålet er selvfølgelig ville TCO'en for hele livscyklusen være bedre på den ene eller anden måde, og hvordan gør du overhovedet dette regnestykke op?

Vi som IT-folk har nok en holdning til det, men finansfolk har nok en anden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize