Statens It efter Rigsrevisionskritik: Der har manglet professionalisme i forhold til it-sikkerhed

Den store drifts- og vedligeholdelsesorganisation i staten, Statens It, erkender, at der historisk ikke har været taget godt nok hånd om it-sikkerhed. Men til januar vil alt være i orden, lyder det.

Statens It genkender ikke den stærkt negative konklusion i en ny beretning fra i går, udgivet af Rigsrevisionen, om for nem adgang til kritiske it-systemer hos seks offentlige institutioner fra Rigsrevisionen. Men man erkender dog, at fortiden i forhold til arbejdet med it-sikkerhed, ikke er for køn.

Det siger vicedirektør Søren Ulrich Vulff, Statens It, der generelt hilser beretningen fra Rigsrevisionen velkommen og samtidig påpeger, at man blandt de seks statslige institutioner ligger pænt i billedet, fordi man er i fuld gang med at øge sikkerheden omkring adgang for og rettigheder til systemadministratorer.

»Vi har styr på langt det meste i Statens It. Og både siden Rigsrevisionen reviderede vores organisation i marts, er der ting, som vi har gjort bedre og skal gøre bedre,« siger han.

»Vi er også glade for at se, at det niveau, vi har arbejdet os op på, svarer meget godt til det, som Rigsrevisionen mener, man bør ligge på.«

Rigsrevisionen rejste bl.a. kritik af brugen af passwords fra slutningen af 90'erne som et af mange eksempler på alvorlige fejl og mangler i adgangsbeskyttelsen til seks statslige it-systemer, som indeholder vitale data for samfundsdriften eller følsomme persondata.

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

Konklusionen fra Rigsrevisionen var, at ingen af de 6 undersøgte institutioner - Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT - har håndteret de udvidede administratorrettigheder med den nødvendige professionalisme.

Statens IT blev etableret i 2010 og har ansvar for alle opgaver vedrørende administrativ it, it-infrastruktur samt en række opgaver vedrørende drift, vedligehold og brugeradministration af fag-it for otte ministerområder.

For at øge sikkerheden omkring adgang til it-systemer, der er placeret i organisationen, har man bl.a. nedbragt antallet af profiler med administratorrettigheder til fire, og man er også i gang med at forbedre systemerne til detektion af anomaliteter.

» Vi logger administratorernes adfærd og har styr på eventuelle anormaliteter her. Men for de øvrige 12.000 brugere skal vi finde vores ben for, hvornår en brugeradfærd kan opfattes som anomalt. Der arbejdes i døgndrift ude på institutionerne, og derfor kan det være svært at sige om en brugeraktivitet kl. 3 om natten er anomal eller ej.«

En række læserreaktioner på Rigsrevisionens rapport går på, hvordan det kan stå så galt til i staten i forhold til styring af adgang til it-systemerne.

Søren Ulrich Vulff erkender, at man ved overtagelsen af systemerne tilbage i 2010, hvor flere statslige driftscentre blev sammenlagt, overtog organisationer og systemer, der lod meget tilbage at ønske i forhold til sikkerhedshåndtering.

»Man kan godt sige, at der tidligere har været en manglende professionalisme i forhold til it-sikkerheden. Fokus har været på funktionalitet til brugerne og at få tingene til at fungere - ikke nødvendigvis at sikre mod en uberettiget adgang til de data, som systemerne omfatter,« siger han.

Han påpeger dog også – i tråd med Forsvarets Efterretningstjeneste – at trusselbilledet er markant ændret inden for de seneste 5-10 år.

»Vi ser et tiltagende pres fra dels statssponserede aktører og kriminelle, der f.eks. spreder ransomware, hvilket vi jævnligt ser.«

Statens IT har valgt at hyre Norsk Veritas til at revidere organisationens procedurer efter den internationale standard ISO27001, der stiller krav til et "Ledelsessystem for informationssikkerhed", også kaldet et ISMS.

Det er ikke en standard, der stiller konkrete krav til sikkerhedsforanstaltninger, men alligevel lover Søren Ulrich Vulff, at hvis Rigsrevisionen gentager sin undersøgelse af organisationen om adgangen til de statlige it-systemer, så vil alt være i orden i Statens IT.

»Til januar vil vi kunne sige, at de her ting er bragt til et niveau, hvor tingene er i orden. Vi mener ikke, der bliver noget at komme efter til januar.«

Af sikkerhedshensyn er resultaterne i beretningen anonymiseret, og derfor kan Statens It ikke fortælle, hvordan styrelsen klarer sig på de enkelte punkter. Men det forlyder dog, at man 'ligger meget fornuftigt blandt de undersøgte myndigheder'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Men til januar vil alt være i orden, lyder det. "

Men jeg forstår ikke helt dette:
"Statens IT blev etableret i 2010 og har ansvar for alle opgaver vedrørende administrativ it, it-infrastruktur samt en række opgaver vedrørende drift, vedligehold og brugeradministration af fag-it for otte ministerområder."

Er Statens IT så overordnet myndighed for de øvrige undersøgte institutioner? I så fald er det vel Statens IT der har ansvaret for de sørgelige tilstande i de andre institutioner?

»Man kan godt sige, at der tidligere har været en manglende professionalisme i forhold til it-sikkerheden. Fokus har været på funktionalitet til brugerne og at få tingene til at fungere - ikke nødvendigvis at sikre mod en uberettiget adgang til de data, som systemerne omfatter,«

Hvem er ansvarlig for denne prioritering? Er den politisk, eller er den sket internt i de pågældende institutioner (som følge af bonusmål etc.?)

Kan man så regne med, at man ikke fremover skræver længere end bukserne kan holde, men sørger for, at ny udvikling følges med tilstrækkelige sikkerhedsprocedurer, i stedet for at sikkerheden nedprioriteres til fordel for at få systemerne op at køre?

  • 4
  • 0
La Kris

For ikke at blande begreberne bør styrelsen Statens It ændre navn til Ministeriernes It. Mange bruger begrebet statens it på så mange ting, som bl.a. systemer, der ikke vedrører styrelsen Statens It.

  • 3
  • 0
Log ind eller Opret konto for at kommentere