Rigsrevisionen retter sin seneste gennemgang af de statslige institutioner drøje hug til flere centrale statsinstitutioners IT-sikkerhedspolitik.
Værst går det ud over Toldskat, der kritiseres stærkt for at have sløset med sikkerheden omkring indførelsen af SAP/R3.
Ifølge sikkerhedsbestemmelsen for systemet skulle kun to personer have alle brugerrettigheder - en hos Toldskat og en hos leverandøren.
Men ifølge den interne revision hos Toldskat viste det sig, at 11 personer havde ubegrænsede brugerrettigheder.
Slette sporerne
Rigsrevisionen fastslår, at disse personer således har "kunnet foretage ændringer i regnskabs-registreringerne samt foretage omfattende ødelæggelser af produktionsmiljøet.
Endvidere ville personer med stor edb-indsigt have kunnet slettet sporerne efter sig?.
Ud over de 11 personer med ubegrænsede brugerrettigheder havde 25 personer adgang til brugeradministrationen, hvor de selv kunne have oprettet falske brugeridentiteter, der også havde fuld brugeradgang.
Ifølge Rigsrevisionens beretning er der nu rettet op på forholdene, efter de er blevet kendt, men brugerrettighederne vil nøje blive overvåget i fremtiden.
Skærpet IT-sikkerhed
Også Forsvaret, By og Byg, Statens Kunstfond, Den Sociale Ankestyrelse, Arbejdsmarkedsstyrelsen, Trafikministeriet og Undervisningsministeriet har haft problemer med brugeradgang og sikkerhed.
I alt 34 statsinstitutioner har fået gennemgået IT-sikkerheden i forbindelse med revideringen af statsregnskabet for 2002, og det er på denne baggrund, at de kritiserede forhold er fundet.
Rigsrevisionen finder det dog ikke nødvendigt at ændre på de instrukser, der gælder for den generelle IT-sikkerhed i de statslige institutioner, men mener dog, at Videnskabsministeriet bør tage initiativ til en præcisering af departementernes tilsyns- og kontrolfunktioner på IT-området.
Rigsrevisionen peger desuden på, at ikke mindst overgangen til papirløs elektronisk sagsbehandling kan medføre øget sårbarhed og indskærper over for institutionerne, at de skal øge kontrollen af både forretningsprocesserne og brugeradministrationen.
Svindel og hacking
Et svagt kontrolmiljø vil ifølge Rigsrevisionen kunne give mulighed for uautoriseret adgang til systemer og data ? enten via internettet eller en intern computer, hvilket medfører risiko for, at data kan ændres, stjæles eller slettes, uden at det kan afgøres, hvornår ændringerne er sket, eller hvem der har foretaget ændringerne.
Desuden kan uautoriseret adgang åbne for forsøg på hacking, sabotage eller såkaldte IT-besvigelser.
Rigsrevisionen angiver som eksempler forsøg på at ændre regnskabsdata, oprette fiktive leverandører, kunder eller medarbejdere, tilsløre falske eller forfalskede transaktioner, tyveri af programmer og data.
"Dette kan skade virksomhedens omdømme og tilføje væsentlig skade på virksomhedens informationsaktiver ? såvel økonomiske som faglige data. I visse tilfælde kan det muligvis true virksomhedens opgavevaretagelse eller eksistensgrundlag", skriver Rigsrevisionen.
Relevant link
