Statens It genkender ikke den stærkt negative konklusion i en ny beretning fra i går, udgivet af Rigsrevisionen, om for nem adgang til kritiske it-systemer hos seks offentlige institutioner fra Rigsrevisionen. Men man erkender dog, at fortiden i forhold til arbejdet med it-sikkerhed, ikke er for køn.
Det siger vicedirektør Søren Ulrich Vulff, Statens It, der generelt hilser beretningen fra Rigsrevisionen velkommen og samtidig påpeger, at man blandt de seks statslige institutioner ligger pænt i billedet, fordi man er i fuld gang med at øge sikkerheden omkring adgang for og rettigheder til systemadministratorer.
»Vi har styr på langt det meste i Statens It. Og både siden Rigsrevisionen reviderede vores organisation i marts, er der ting, som vi har gjort bedre og skal gøre bedre,« siger han.
»Vi er også glade for at se, at det niveau, vi har arbejdet os op på, svarer meget godt til det, som Rigsrevisionen mener, man bør ligge på.«
Rigsrevisionen rejste bl.a. kritik af brugen af passwords fra slutningen af 90'erne som et af mange eksempler på alvorlige fejl og mangler i adgangsbeskyttelsen til seks statslige it-systemer, som indeholder vitale data for samfundsdriften eller følsomme persondata.
Konklusionen fra Rigsrevisionen var, at ingen af de 6 undersøgte institutioner - Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT - har håndteret de udvidede administratorrettigheder med den nødvendige professionalisme.
Statens IT blev etableret i 2010 og har ansvar for alle opgaver vedrørende administrativ it, it-infrastruktur samt en række opgaver vedrørende drift, vedligehold og brugeradministration af fag-it for otte ministerområder.
For at øge sikkerheden omkring adgang til it-systemer, der er placeret i organisationen, har man bl.a. nedbragt antallet af profiler med administratorrettigheder til fire, og man er også i gang med at forbedre systemerne til detektion af anomaliteter.
» Vi logger administratorernes adfærd og har styr på eventuelle anormaliteter her. Men for de øvrige 12.000 brugere skal vi finde vores ben for, hvornår en brugeradfærd kan opfattes som anomalt. Der arbejdes i døgndrift ude på institutionerne, og derfor kan det være svært at sige om en brugeraktivitet kl. 3 om natten er anomal eller ej.«
En række læserreaktioner på Rigsrevisionens rapport går på, hvordan det kan stå så galt til i staten i forhold til styring af adgang til it-systemerne.
Søren Ulrich Vulff erkender, at man ved overtagelsen af systemerne tilbage i 2010, hvor flere statslige driftscentre blev sammenlagt, overtog organisationer og systemer, der lod meget tilbage at ønske i forhold til sikkerhedshåndtering.
»Man kan godt sige, at der tidligere har været en manglende professionalisme i forhold til it-sikkerheden. Fokus har været på funktionalitet til brugerne og at få tingene til at fungere - ikke nødvendigvis at sikre mod en uberettiget adgang til de data, som systemerne omfatter,« siger han.
Han påpeger dog også – i tråd med Forsvarets Efterretningstjeneste – at trusselbilledet er markant ændret inden for de seneste 5-10 år.
»Vi ser et tiltagende pres fra dels statssponserede aktører og kriminelle, der f.eks. spreder ransomware, hvilket vi jævnligt ser.«
Statens IT har valgt at hyre Norsk Veritas til at revidere organisationens procedurer efter den internationale standard ISO27001, der stiller krav til et "Ledelsessystem for informationssikkerhed", også kaldet et ISMS.
Det er ikke en standard, der stiller konkrete krav til sikkerhedsforanstaltninger, men alligevel lover Søren Ulrich Vulff, at hvis Rigsrevisionen gentager sin undersøgelse af organisationen om adgangen til de statlige it-systemer, så vil alt være i orden i Statens IT.
»Til januar vil vi kunne sige, at de her ting er bragt til et niveau, hvor tingene er i orden. Vi mener ikke, der bliver noget at komme efter til januar.«
Af sikkerhedshensyn er resultaterne i beretningen anonymiseret, og derfor kan Statens It ikke fortælle, hvordan styrelsen klarer sig på de enkelte punkter. Men det forlyder dog, at man 'ligger meget fornuftigt blandt de undersøgte myndigheder'.
