Statens It efter Rigsrevisions-prygl: Sikkerheden er da bedre end sidste år

Illustration: leowolfert/Bigstock
Det går fremad - for kritikken i år er mindre slem end året før. Sådan lyder Statens It’s kommentar til Rigsrevisionens nye kritik af sikkerheden hos Statens It.

Det var ikke godt nok sidste år - og det var det heller ikke i år. Rigsrevisionen er igen ude med riven, efter at have gennemgået it-sikkerheden hos statens store it-selskab Statens It, som blandt andet får kritik for ikke at have styr på, om servere og software har fået de nødvendige sikkerhedsopdateringer.

Læs også: Rigsrevisionen: Statens It har stadig ikke styr på sikkerheden

Kritikken bliver taget til efterretning, men den gode nyhed er, at niveauet hele tiden bliver bedre, lyder det fra Michael Ørnø, direktør for Statens It.

»Det er værd at bemærke, at hvor vi sidste år fik karakteren ’ikke tilfredsstillende’, var det i år ’ikke helt tilfredsstillende’, altså et trin op. Det er et udtryk for, at der er sket en masse forbedringer, og vi fortsætter med hele tiden at forbedre,« siger Michael Ørnø til Version2.

For eksempel har Statens It siden Rigsrevisionen kom på besøg før sommerferien fået styr på sikkerhedsopdateringer af servere, fortæller han.

»Det er bestemt alvorlige kritikpunkter, men de er mindre alvorlige end sidste år. Det er en stor opgave at komme igennem, det kommer vi ikke uden om. Men nu får vi historien om alt det, der ikke er i orden. Der mangler historien om alt det, vi har fået i orden,« siger Michael Ørnø.

Skal man som kunde hos Statens It være bekymret, når man læser Rigsrevisionens kritik?

»Nej, det skal man ikke, for man kan være sikker på, at vi arbejder seriøst og koncentreret med de her sager.«

Læs også: Skarp kritik af sikkerheden i Statens It og flere ministerier

Som ost og skinke

Statens It får også kritik for at bruge for mange af kræfterne på papirarbejdet med ISO 27001-certificeringen, som Statens It arbejder på at leve op til kravene i. Det går ud over arbejdet med at rette op på sikkerhedsmanglerne, lyder Rigsrevisionens vurdering.

Men man kan ikke se arbejdet med ISO 27001 som en modsætning til at løse sikkerhedsproblemer i praksis, mener Michael Ørnø.

»Det undrer mig, at det står sådan. En del af ISO 27001 er for eksempel, at man skal have styr på patch management. Det er et krav. Og selvom alle kan blive enige om, at det er vigtigere at patche servere end at skrive om at patche servere, så kan jeg ikke se, at det er i modstrid med hinanden. Vi har papiret færdigt, og så handler det om adfærd og om at gøre det. Udgangspunktet for at have styr på it-sikkerheden, det er at have styr på styringen af it-sikkerheden. Det tror jeg, at Rigsrevisionen er enig i,« siger Michael Ørnø.

Netop ved at bruge kræfter på at leve efter ISO 27001-standarden og dermed risikobaseret it-styring, kan Statens It bedre vurdere, hvor der skal sættes ind først.

»Hele vores styring af it-sikkerheden ligger i denne risikobaserede tilgang. Vi får ikke længere kritik for ikke at have et opdateret risikobillede. Og det er papirarbejde, der har ført os dertil. Papirarbejdet og den faktiske sikkerhed er som ost og skinke - det fungerer bedre sammen end hver for sig,« siger direktøren.

Læs også: Statens It efter sløseri med sikkerheden: Det er noget skidt

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Direktøren for Statens IT er tilfreds med at Rigsrevisonen er gået fra "ikke tilfredsstillende" til "ikke helt tilfredsstillende" i bedømmelsen, men det er noget vrøvl og en dårlig undskyldning, man kan da ikke være glad for en fiasko to år i træk.
Statens IT blev oprettet for nu snart mange år siden fordi Finansministeriet ville spare penge. Men Statens IT kan stadigvæk ikke magte opgaven, og der er ikke sparet penge. Finansministeriets embedsværk trumlede en ikke brugbar løsning igennem og løb derefter fra ansvaret. Med det resultat, at mange myndigheder og styrelser m.v. nu er "tvangskunder" hos Statens IT, som ikke på betryggende vis kan sikre, at befolkningens ophobede sensitive oplysninger kan beskyttes, jf Rigsrevisionens anden næse d.d.til Statens IT. Og hverken Statens IT eller det embedsværk der skabte makværket tager ansvar, man gemmer sig bag tykke mure, lukker øjnene og håber at befolkningens vrede går over og at skandalen glemmes i løbet af få dage. Sådan opfører skattebetalte embedsfolk sig desværre. Embedsfolk, som burde være befolkningens beskyttere og garanter for at borgerne ikke lider overlast, burde skamme sig. Direktør Michael Ørnø prøver forgæves i artiklen at retfærdiggøre, at Statens IT ikke gør sit arbejde godt nok, det er ansvarsforflygtigelse af værste skuffe.

  • 6
  • 0
Log ind eller Opret konto for at kommentere