"Det er jo ikke sjovt at få sådan én."
Sådan lyder reaktionen fra Michael Steen Hansen, der er direktør for Koncern IT i Rigspolitiet, efter at en rapport fra Rigsrevisionen netop har beskrevet alvorlige sikkerhedsproblemer ved politiets it.
"Rigsrevisionen finder, at it-sikkerheden hos politiet ikke er tilfredsstillende," lyder konklusionen i rapporten.
Michael Steen Hansen, hvad er din reaktion på den melding fra Rigsrevisionen?
"Jeg er nok overrasket over, hvor hård meldingen er, men en del af de ting, der påpeges, lå faktisk i pipelinen. Nogle af dem havde vi identificeret og planlagt, så på den måde er det rigtig nok."
"Halvdelen af det, man påpeger i sikkerheds-revisionen, er proces-relateret, og den anden halvdel handler om en fysisk modernisering. Selv om det er problematisk, er der en genopretningsplan for begge ting."
Manglende sikkerhedsopdateringer
Der står blandt andet i rapporten: "Revisionen viste, at mange af de tilgængelige sikkerhedsopdateringer ikke blev installeret korrekt eller slet ikke blev installeret på centrale systemer." Hvad er forklaringen på det?
"Der er ingen tvivl om, at vi i det seneste halvandet år har arbejdet med processuelle opstramninger og metoder og med at indføre en række kvalitetskontroller. Jeg er sikker på, at det er blevet markant bedre, end det har været."
"Men der er heller ingen tvivl om, at Rigsrevisionen i denne omgang har taget hårdere fat med den måde, man reviderer på - det kan vi i hvert fald se i forhold til de foregående revisioner. Det er helt på sin plads og naturligt, for der er sket nogle ting, som gør, at hele området er blevet opprioriteret," siger Michael Steen Hansen.
"Derfor er det formentlig heller ikke det sidste, vi har set til, at der skal gøre noget ekstra på sikkerhedsområdet. Det bliver prioriteret op i både det offentlige og private lige nu."
Der står videre i rapporten fra Rigsrevisionen:
Manglende kontrol af medarbejdere
I rapporten fra Rigsrevisionen kan man også læse, at "Revisionen viste endvidere, at Rigspolitiets Koncern IT ikke udførte systematisk kontrol af medarbejdere, der var tildelt udvidede administratorrettigheder på de kritiske systemer."
Til den kritik siger Michael Steen Hansen:
"Det er rigtigt, at hvis der bare er én, der ikke er styr på, så er det én for meget. "
"Så vi har taget alle de her bemærkninger ad notam og udarbejder handlingsplaner for at få udbedret de ting, så Rigsrevisionen, når den kommer igen, kan se, at vi har flyttet os derhen, hvor de gerne vil have os."
Da du tiltrådte, udtalte du, at du havde "en klar ambition om at løfte politiets it op på et nyt niveau, som kan give politiets kerneopgave den understøttelse, der er bydende nødvendig nu og i fremtiden." Hvor langt er I fra at være nået op på det niveau?
"På nogle områder er vi nået rigtig langt, men der er andre områder, hvor vi stadig er i gang med at flytte os."
"Når du peger på en sikkerhedsmodel, er du ude og røre ved hele netværksarkitekturen for at indføre en ny protokol. Det er ikke bare noget , du gør på et enkelt år. Det tager tid at få udskiftet komponenter. "
"Det er også derfor, at vi har planlagt nogle af de her ting, og at der både er noget, vi har gjort, og noget, der var planlagt - som så nu bliver fremskyndet."
"Der er ikke noget, der er så skidt, at det ikke er godt for noget andet, for det her giver et fokus på området, og vi får ryddet op i noget af det, vi måske ellers havde været længere tid om."
I hvor høj grad er de midler og ressourcer, I har til rådighed, tilstrækkelige til, at I kan løse opgaven, som I gerne vil og bør?
"Direktionen har prioriteret det her og har tildelt de midler, vi mener, der skal til for at kunne løse det her inden for de næste seks-otte måneder."
Skal hele tiden forbedre sikkerheden
Siger du dermed også, at I ikke forventer, at der kommer en lignende kritik, næste gang, der bliver lavet en revision?
"I hvert fald ikke på de samme punkter, men formålet med en revisionen er at sige, at hvis der er noget, der enten ikke lever op til de gældende eller kommende standarder, så skal det påpeges, så vi har en chance for at flytte os derover."
"På den måde flytter vi os hele tiden, og der er hele tiden en grund til ikke at ligge stille, og at man ser på, om der er noget, man kan gøre bedre, og om der er trusler, vi ikke har adresseret. Det gør vi selv, og så får vi også hjælp af vores eksterne revisioner."
Hvis du hæver op i helikopterperspektiv, hvad er så den grundlæggende forklaring på de konkrete it-problemer, der bliver påpeget?
"Den ene del handler om den tekniske infrastruktur på forskellige niveauer. Det kommer ikke som nogen overraskelse, at den gennemsnitlig set har været ret gammel. Vi har været i gang med at skifte ud i et par år."
"Og så er der hele det processuelle. Noget af det burde vi måske have set og have gjort noget ved, og noget af det er måske kommet til som følge af nogle andre ting. Det må vi så set at få implementeret. Det skal vi nok få ryddet op i."
"Vi er i en forandring både på det kompetencemæssige, i processer og metoder og i hele kulturdelen. Det er den rejse, vi er på."
"Vi lægger os fladt ned og tager de her anbefalinger og forsøger at få tingene udbedret hurtigst muligt," siger Michael Steen Hansen.
Michael Steen Hansen blev i 2009 kåret som Danmarks bedste CIO for sit arbejde som CIO i Region Sjælland. Han skiftede til stillingen som direktør for Koncern IT i Rigspolitiet i september 2012.
Læs også:
Hård kritik fra Rigsrevisionen: It-sikkerheden sejler hos Rigspolitiet
