Ekspert bekymret over statens manglende it-sikkerhed: Overraskende grelt

Illustration: leowolfert/Bigstock
Manglende dokumentation og beredskabsplaner er overraskende alvorligt, lyder det fra sikkerhedsekspert, efter Rigsrevisionens omfattende kritik af statens it-sikkerhedsarbejde.

»Det mest positive, jeg kan sige, er: Godt det her blev undersøgt.«

Sådan lyder det fra Lars Neupart, direktør for it-sikkerhedsfirmaet Neupart, efter at han har set Rigsrevisionens gennemgang af sikkerhedsarbejdet i staten.

Læs også: Skarp kritik af sikkerheden i Statens It og flere ministerier

14 ministerier og styrelser, der har lagt it-driften over til Statens It, er blevet undersøgt, og resultatet var gennemgående sløjt. Kun ét sted var der en tilfredsstillende beredskabsplan, og ingen havde løbende holdt styr på, at der blev taget korrekt backup hos Statens It, hvilket da også endte galt hos en af de undersøgte institutioner, som mistede data.

»Jeg kan kun være enig i, hvad Rigsrevisionen siger: Det er overraskende lav modenhed, vi ser her. Det er ikke god nok sikkerhed,« siger Lars Neupart til Version2.

Læs også: Statens It efter sløseri med sikkerheden: Det er noget skidt

Kritikken handler om, at det endelige ansvar for it-sikkerheden hos ministerier og styrelser ikke var blevet placeret, og derfor fik områder som dokumentation lov til at sejle. I princippet kan sikkerheden være høj nok, uden dokumentation, men så vil det være mere held end forstand.

»Når det står så grelt til på det ledelsesmæssige niveau, er det tilfældigt, hvad der virker,« vurderer Lars Neupart.

Problemet er, at man ikke har overblik, og ikke har forberedt sig på det uventede. Når ingen har en tilfredsstillende beredskabsplan, kan det hurtigt blive kaotisk, når hackerangreb rammer, eller alle systemerne går ned.

»Man arbejder med sandsynlighedsreducerende tiltag, som antivirus og firewall, og udbedrende tiltag, altså at du er velforberedt, når ulykken sker. Når hele den halvdel mangler, er der grund til at være nervøs. Det ser ikke ud til, at særlig mange i denne undersøgelse ville være i stand til at klare en sikkerhedshændelse særlig godt,« siger Lars Neupart.

Med en god beredskabsplan i hånden ville en styrelse omvendt vide, hvordan for eksempel et totalt it-nedbrud skal håndteres. Er der kritiske funktioner, som skal fungere, har man en nødplan klar, som kan være baseret på telefon og papir, om nødvendigt.

»Det her er seriøst, når der ikke er flere, som har en beredskabsplan, og når der tilsyneladende er problemer med at efterleve persondataloven. Staten har mange oplysninger om os, og så kan man som borger godt blive lidt bekymret,« siger Lars Neupart.

Et andet kritikpunkt har været håndtering af backup, som mange af de undersøgte myndigheder ikke vidste, hvordan foregik hos Statens It. Selvom dokumentationen mangler, kan der altså godt være taget al den nødvendige backup, men problemerne opstår, når der bliver skiftet ud i medarbejderne, og ingen derefter ved, hvordan det er foregået.

»Har du backup, som ikke er dokumenteret, kan det være, at den ikke bliver opdaget og brugt i en restore-situation. Har man ikke både backup og dokumentation, giver det ikke mening,« siger Lars Neupart.

Alt for tit viser det sig også, at den backup, som bliver taget, ikke kan bruges i praksis, når noget er gået galt, eller at det tager meget længere tid end forventet. Derfor bør man også have faste procedurer for at teste backup’en i praksis, råder han.

»Vi har indført i aftalen med vores egen backup-leverandør, at de skal afprøve backup’en to gange om året og dokumentere, at det virkede, når de lavede en restore. Bruger man fjernbackup, kan det også være et problem, hvis man ikke har en hurtig forbindelse, når man skal lave restore. Så bliver download-hastigheden en flaskehals, man skal vente på,« siger Lars Neupart.

Læs også: Styrelse: Gudskelov har vi ikke haft brug for backup'en

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere