Skarp kritik fra Rigsrevisionen af it-sikkerhed i seks statsinstitutioner: Risiko for svig og databrud

Kun et halvt år efter at Britta Nielsen blev dømt for fusk og underslæb for et trecifret millionbeløb, går Rigsrevisionen nu ud og advarer om utilstrækkelig styring af brugerrettigheder i statslige it-systemer, som i værste fald kan udnyttes til misbrug.

I en spritny beretning (PDF) om revision af statsregnskabet for 2019 anfører Rigsrevisionen, at den manglende styring af brugerrettigheder - dvs. hvilke processer og systemer som de ansatte har adgang til - »vanskeliggør afdækningen af eventuelle sager om misbrug«, lyder det.

I alt seks ministerier har mangler i kontrolmiljø og styringen af brugerrettigheder i Statens Lønsystem.

»Manglerne indebærer risiko for svig og fejl i ministeriernes regnskaber,« skriver Rigsrevisionen og suppleres af Statsrevisorerne, der finder forholdene 'utilfredsstillende'.

Den manglende it-sikkerhed gælder bl.a. i Skatteministeriet, Direktoratet for Kriminalforsorgen og Domstolsstyrelsen under Justitsministeriet og i Banedanmark under Transport- og Boligministeriet.

Eksempelvis kan man som bruger i Banedanmark få tildelt en rolle i økonomi- og produktionsstyringsssystemet SAP som både bogholder og kasserer. Og Banedanmark har ikke styr på, hvad en kombition af forskellige brugerretigheder kan bruges til.

For at gøre ondt værre, er det ikke første gang, at Rigsrevisionen har været efter Banedanmark. Både i 2017 og sidste år blev der også fundet mangler.

»Banedanmark har oplyst, at de er i gang med at rette op på manglerne. Rigsrevisionen finder, at arbejdet har taget unødigt lang tid, og at ledelsen i Banedanmark skal sikre yderligere fremdrift, da manglerne øger risikoen for svig og fejl i regnskabet,« skriver Rigsrevisionen.

I Skattemininisteriet er problematikken den samme.

»Skatteministeriets administration af medarbejderes adgange til it-systemerne er så mangelfuld, at der er forhøjet risiko for besvigelser,« fremgår det af den parallelt udsendte beretning om revisionen af statens forvaltning 2019.

Rigsrevisionen har i efteråret 2019 undersøgt Skatteministeriet gennem stikprøver, interviews og gennemgang af dokumenter, systemer og processer. Gennemgangen har vist, at ministeriet har 795 superbrugeradgange i skattesystemer som DMO, SAP 38, SAP PS og DMI. Visse superbrugere kan fx ændre opsætning og konkrete posteringer i systemerne, hvor bogføringerne bliver ført.

»Det kan have store konsekvenser i form af besvigelser af et særligt stort økonomisk omfang.«

Rettigheder - som der ikke er styr på - giver adgang til udbetaling

Og i Bygningsstyrelsen mangler der adgangsstyring i Atrium, som er styrelsens system til styring og optimering af statens ejendomme.

Eksempelvis har styrelsen ikke regelmæssigt gennemgået brugerrettigheder.

»Vi har bl.a. konstateret, at styrelsen har et stort antal systemadministratorer, der ikke har et dokumenteret arbejdsbetinget behov for disse rettigheder. Rettighederne giver mulighed for både at foretage disponering, registrering og initiering af udbetaling,« skriver Rigsrevisionen.

Også risiko for databrud

Det er ikke alene risiko for svig og besvigelse, som den manglende it-sikkerhed medfører. I Statens It og Udenrigsministeriet, hvor der også er mangler i it-sikkerheden, er der risiko for driftssvigt. Men også borgernes data kan komme i fare:

»(...) manglerne medfører risiko for, at statens og borgernes oplysninger kompromitteres,« advarer Rigsrevisionen.

It-sikkerheden i staten kritiseres også i en række andre tilfælde. F.eks. mangler Banedanmark styring af underleverandører, hvor styrelsen ikke tjekker, om en revisorerklæring om it-underleverandørens sikkerhed stemmer overens med behovet.

I Kriminalforsorgen er der en række væsentlige mangler i it-sikkerheden i regnskabssystem og i driften, og i Domstolsstyrelsen har regnskabssystemet også væsentlige it-sikkerhedsmæssige mangler. Også hos Udbetaling Danmark er der konstateret svagheder i forhold til it-sikkerhed.