SKAT og Digitaliseringsstyrelsen blæser på it-sikkerheden hos deres driftleverandører

Illustration: REDPIXEL.PL/Bigstock
Der er alt for dårlig kontrol med om statens it-driftslevendører passer godt nok på data. Desuden er den stadig gal med adgangsstyringen - en kritik som også lød for et år siden.

Fire ud af fem myndigheder, som Rigsrevisionen har kigget efter i sømmene for it-sikkerhed, har forsømt at udarbejde en tilstrækkelig risikovurdering.

Det fremgår af en ny beretning fra Rigsrevisionen.

De fem myndigheder, der er undersøgt er Rigspolitiet (Det Centrale Pasregister), SKAT (TastSelv Borger og Nyt TestSelv Erhverv), Styrelsen for Arbejdsmarked og Rekruttering (Det fælles datagrundlag), Digitaliseringsstyrelsen (NemID) og Søfartsstyrelsen (Skibsregistret).

Kun Rigspolitiet har stillet tilstrækkelige krav til deres it-driftsleverandørers sikkerhedsniveau.

Finansministeriet stiller ellers krav om, at statslige myndigheder følger it-sikkerhedsstandarden ISO27001 til at styre af it-sikkerheden, herunder it-sikkerheden hos eksterne it-leverandører, der leverer it-drift.

Men det sker altså alt for sjældent:

»Statsrevisorerne finder det utilfredsstillende, at fire ud af de fem myndigheder ikke har udarbejdet en tilstrækkelige risikovurdering,« skriver revisorerne i Rigsrevisionens beretning.

Rigsrevisionen antyder, at der ikke bare er tale om en papirtiger.

»Der har (...) de seneste år været eksempler på alvorlige it-sikkerhedshændelser hos statens eksterne it-leverandører. Fx blev flere af Rigspolitets systemer i 2012 kompromitteret ved et hacker-angreb på it-leverandøren CSC,« skriver Rigsrevisionen.

Hvis man ikke undersøger forholdene, kan man jo ikke vide om tingene er i orden og om systemer og data er sikrede tilstrækkeligt, konstaterer Rigsrevisionen lakonisk.

Går man ned i de den risikovurdering der foretages, konkluderer Rigsrevisionen, at de er meget overordnede og ikke omfatter alle dele af systemernes it-infrastruktur.

Screeningen skal sikre en balanceret indsats, der vægter hensynet til brugervenlighed, sikkerhed og økonomi.

Halter også med adgangsstyring

Men den er også gal med krav til og opfølgning på adgangsstyring og logning. Det er ikke første gang, at Rigsrevisionen kritiserer dette.

For et år siden kunne Version2 fortælle om passwords fra slutningen af 90'erne som ifølge en beretning fra revisionen blot var et af mange eksempler på alvorlige fejl og mangler i adgangsbeskyttelsen til seks undersøgte statslige it-systemer, der indeholder vitale data for samfundsdriften eller følsomme persondata.

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

Dengang blev Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT undersøgt.

Nu lyder kritikken, at overvågningen af adgangskontrol er for upræcis eller omfatter kun delsystemer - og sker i øvrigt uden argumenter:

»Myndighederne (begrunder) i deres risikovurderinger ikke deres fravalg i forhold til adgangsstyring og logning i alle dele af it-infrastrukturen,« skriver Rigsrevisionen.

Rigsrevisionen slår fast, at hovedparten af de undersøgte myndigheder fremadrettet kan forbedre deres krav til leverandørerne om adgangsstyring og logning, lyder det.

Rigsrevisionen mener også, at Finansministeriet må stramme op i forhold til deres tilsyn med, om de statslige organisationer lever op til det de skal på it-sikkerhedsområdet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Kaos

Ofte får man den følelse at det er lige dele sjusk og ligegyldighed kombineret med uigennemtænkte og dårligt designet systemer der giver de mange fejl og tilsætter man så den type direkte dumhed der får en styrelse til at tro at et anbefalet brev med 2 ukrypterede CD´er er lig med den højeste datasikkerhed så kan det da kun gå helt galt.

Bedre bliver det ikke når det viser sig at de slet ikke fatter alvoren og forsætter deres slendrian med vores personlige data.

  • 12
  • 0
Anne-Marie Krogsbøll

....der får en styrelse til at tro at et anbefalet brev med 2 ukrypterede CD´er er lig med den højeste datasikkerhed så kan det da kun gå helt galt.

Ja, og når man så læser om anonymisering i Sundhedsdatastyrelsens brochure om Informationssikkerhed i sundhedsvæsnet (som Henrik Biering har gravet frem), så får man nærmest indtryk af, at det op til egen vurdering for forskere, om de vil anonymisere deres data, og at Sundhedsdatastyrelsen mener, at anonymisering er så effektiv, at data ikke længere er personhenførbare, og at data derfor ikke mere er underlagt kravene for persondata:
"Med anonymisering er data ikke længere personhenførbare og derfor ikke omfattet af persondatalovens krav, dog under forudsætning af at der er taget de nødvendige forholdsregler i forhold til diskretionering." s. 63
http://sundhedsdatastyrelsen.dk/-/media/sds/filer/rammer-og-retningslinj...

Der fremgår ingen egentlige krav til, hvad der kan anses for tilstrækkelig anonymisering, og det finder jeg rystende, for det betyder jo, at det er de enkelte forskere, hvis ekspertise jo typisk ikke ligger på dataområdet, der selv skal beslutte, hvor meget eller lidt anonymisering eller pseudoanonymisering, der er tilstrækkeligt til at narre Big Data-samkøringer. Og som kan bilde sig ind, at nu har man anonymiseret nok til, at man ikke behøver at overholde lovkrav til beskyttelse af persondata.

Hvorfor er der ikke lovkrav til, hvorledes vore meget følsomme data skal anonymiseres, når de udleveres til forskning? Det virker som om, der ikke er nogen, der skal nyde noget af at stikke hånden i den hvepserede - men det er ansvarsforflygtigelse.

  • 7
  • 0
Gert Madsen

det er lige dele sjusk og ligegyldighed


Nu skal man jo ikke tillægge folk usle motiver, men det er alligevel træls, at motivationen peger den forkerte vej:
Øget sikkerhed medfører mere arbejde, og en større del at budgettet går til IT : Karrierehæmmende.
At lade stå til medfører en bemærkning i Revisionsrapporten, som ikke bemærkes andre steder end specialmagasiner som dette: Ingen betydning.

  • 11
  • 0
Jesper Frimann

@Gert Madsen
Spot on. Så snart det er outsourced.. så er det omgivet af et SEP felt (Somebody Else's Problem).

Dog er der nogle offentlige styrelser og institutioner, hvor de tager sikkerhed alvorligt, og forstår det.

// Jesper

  • 0
  • 0
Anne-Marie Krogsbøll

... mht. at have tænkt de alvorlige faremomenter igennem, som opremses i denne kronik?
https://www.nrk.no/ytring/utflagging-truer-sikkerheten-1.13222864

Så vidt jeg har forstået, ligger EPIC nu på servere i udlandet (kan tage fejl), og serviceres derfra. Så har man tænkt faremomenterne ved den konstruktion igennem?

Jeg tvivler....

Og kan nogen gennemskue, om Trumps overtagelse af magten i USA får betydning for sikkerheden omkring de data, som EPIC i følge aftalen, så vidt jeg har forstået, har adgang til i forbindelse med service og vedligehold?

Jeg er bare så træt af, at vore ansvarlige myndigheder lukker øjnene og forsømmer deres ansvar for at tage stilling til disse spørgsmål. Eller findes der faktisk en stillingtagen til den slags et eller andet sted i systemet?

  • 1
  • 0
John Foley

@Anne-Marie-Krogsbøll

"Jeg er bare så træt af, at vore ansvarlige myndigheder lukker øjnene og forsømmer deres ansvar for at tage stilling til disse spørgsmål. Eller findes der faktisk en stillingtagen til den slags et eller andet sted i systemet?"

Jeg må skuffe dig Anne-Marie Krogsbøll, der er desværre ingen offentlig eller privat instans, der tager problemet alvorligt. Politikkerne har ikke engang etableret et Folketingets It-og digitaliseringsudvalg, der kunne være den instans, der kunne begynde at se på problemerne, men det sker bare ikke.
Efter sigende har MF René Gade, taget initiativ til at etablere et It-politisk forum bestående af It-ordførerne. Det er måske en god start, der kan få politikerne til at forstå alvoren og gøre noget ved det. Jeg følger med spænding arbejdet og har taget initiativ til en høring på Christiansborg, hvor It-ordførerne, eksperter og befolkningen inviteres til at komme med bud på løsninger, uanset politisk farve.

  • 2
  • 0
Log ind eller Opret konto for at kommentere