Efter lammende kritik af politiets it-sikkerhed: Sådan vil CIO'en løse problemerne

Interview: Rigsrevisionen dumper politiets it-sikkerhed i ny rapport. Her er reaktionen fra Rigspolitiets it-direktør, Michael Steen Hansen, der fortæller, hvordan problemerne bliver løst.

"Det er jo ikke sjovt at få sådan én."

Sådan lyder reaktionen fra Michael Steen Hansen, der er direktør for Koncern IT i Rigspolitiet, efter at en rapport fra Rigsrevisionen netop har beskrevet alvorlige sikkerhedsproblemer ved politiets it.

"Rigsrevisionen finder, at it-sikkerheden hos politiet ikke er tilfredsstillende," lyder konklusionen i rapporten.

Michael Steen Hansen, hvad er din reaktion på den melding fra Rigsrevisionen?

"Jeg er nok overrasket over, hvor hård meldingen er, men en del af de ting, der påpeges, lå faktisk i pipelinen. Nogle af dem havde vi identificeret og planlagt, så på den måde er det rigtig nok."

"Halvdelen af det, man påpeger i sikkerheds-revisionen, er proces-relateret, og den anden halvdel handler om en fysisk modernisering. Selv om det er problematisk, er der en genopretningsplan for begge ting."

Manglende sikkerhedsopdateringer
Der står blandt andet i rapporten: "Revisionen viste, at mange af de tilgængelige sikkerhedsopdateringer ikke blev installeret korrekt eller slet ikke blev installeret på centrale systemer." Hvad er forklaringen på det?


"Der er ingen tvivl om, at vi i det seneste halvandet år har arbejdet med processuelle opstramninger og metoder og med at indføre en række kvalitetskontroller. Jeg er sikker på, at det er blevet markant bedre, end det har været."

"Men der er heller ingen tvivl om, at Rigsrevisionen i denne omgang har taget hårdere fat med den måde, man reviderer på - det kan vi i hvert fald se i forhold til de foregående revisioner. Det er helt på sin plads og naturligt, for der er sket nogle ting, som gør, at hele området er blevet opprioriteret," siger Michael Steen Hansen.

"Derfor er det formentlig heller ikke det sidste, vi har set til, at der skal gøre noget ekstra på sikkerhedsområdet. Det bliver prioriteret op i både det offentlige og private lige nu."
Der står videre i rapporten fra Rigsrevisionen:

Manglende kontrol af medarbejdere
I rapporten fra Rigsrevisionen kan man også læse, at "Revisionen viste endvidere, at Rigspolitiets Koncern IT ikke udførte systematisk kontrol af medarbejdere, der var tildelt udvidede administratorrettigheder på de kritiske systemer."

Til den kritik siger Michael Steen Hansen:

"Det er rigtigt, at hvis der bare er én, der ikke er styr på, så er det én for meget. "

"Så vi har taget alle de her bemærkninger ad notam og udarbejder handlingsplaner for at få udbedret de ting, så Rigsrevisionen, når den kommer igen, kan se, at vi har flyttet os derhen, hvor de gerne vil have os."

Da du tiltrådte, udtalte du, at du havde "en klar ambition om at løfte politiets it op på et nyt niveau, som kan give politiets kerneopgave den understøttelse, der er bydende nødvendig nu og i fremtiden." Hvor langt er I fra at være nået op på det niveau?

"På nogle områder er vi nået rigtig langt, men der er andre områder, hvor vi stadig er i gang med at flytte os."

"Når du peger på en sikkerhedsmodel, er du ude og røre ved hele netværksarkitekturen for at indføre en ny protokol. Det er ikke bare noget , du gør på et enkelt år. Det tager tid at få udskiftet komponenter. "

"Det er også derfor, at vi har planlagt nogle af de her ting, og at der både er noget, vi har gjort, og noget, der var planlagt - som så nu bliver fremskyndet."

"Der er ikke noget, der er så skidt, at det ikke er godt for noget andet, for det her giver et fokus på området, og vi får ryddet op i noget af det, vi måske ellers havde været længere tid om."

I hvor høj grad er de midler og ressourcer, I har til rådighed, tilstrækkelige til, at I kan løse opgaven, som I gerne vil og bør?

"Direktionen har prioriteret det her og har tildelt de midler, vi mener, der skal til for at kunne løse det her inden for de næste seks-otte måneder."

Skal hele tiden forbedre sikkerheden
Siger du dermed også, at I ikke forventer, at der kommer en lignende kritik, næste gang, der bliver lavet en revision?

"I hvert fald ikke på de samme punkter, men formålet med en revisionen er at sige, at hvis der er noget, der enten ikke lever op til de gældende eller kommende standarder, så skal det påpeges, så vi har en chance for at flytte os derover."

"På den måde flytter vi os hele tiden, og der er hele tiden en grund til ikke at ligge stille, og at man ser på, om der er noget, man kan gøre bedre, og om der er trusler, vi ikke har adresseret. Det gør vi selv, og så får vi også hjælp af vores eksterne revisioner."

Hvis du hæver op i helikopterperspektiv, hvad er så den grundlæggende forklaring på de konkrete it-problemer, der bliver påpeget?

"Den ene del handler om den tekniske infrastruktur på forskellige niveauer. Det kommer ikke som nogen overraskelse, at den gennemsnitlig set har været ret gammel. Vi har været i gang med at skifte ud i et par år."

"Og så er der hele det processuelle. Noget af det burde vi måske have set og have gjort noget ved, og noget af det er måske kommet til som følge af nogle andre ting. Det må vi så set at få implementeret. Det skal vi nok få ryddet op i."

"Vi er i en forandring både på det kompetencemæssige, i processer og metoder og i hele kulturdelen. Det er den rejse, vi er på."

"Vi lægger os fladt ned og tager de her anbefalinger og forsøger at få tingene udbedret hurtigst muligt," siger Michael Steen Hansen.

Michael Steen Hansen blev i 2009 kåret som Danmarks bedste CIO for sit arbejde som CIO i Region Sjælland. Han skiftede til stillingen som direktør for Koncern IT i Rigspolitiet i september 2012.



Læs også:

Hård kritik fra Rigsrevisionen: It-sikkerheden sejler hos Rigspolitiet



mest debatterede artikler

Premium
Boozt.com har med CTO Jesper Brøndum i spidsen udviklet sine 15 vigtigste it-systemer helt selv: "Vi er simpelthen nødt til at være i kontrol"
Om få dage går e-handelsgiganten Boozt.com på børsen i Danmark. CTO Jesper Brøndum har stået i spidsen for at udvikle 15 af selskabets kernesystemer selv. "Det er vores kerneprocesser, som vi gerne selv vil have kontrol over, og derfor har valgt selv at bygge. Vi har eksempelvis bygget vores eget finanssystem," fortæller han.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Sådan kan du arbejde effektivt uanset tid, sted og type af enhed
Hvad nu hvis dit arbejde, din information, dine processer og teknologien bag ved, var organiseret på en måde så det passede til din organisation – alt sammen guidet af en intelligent udgave af det digitale arbejdsrum? Det er visionen bag Atea og Citrix´s samarbejde med digital workspace – en smartere og mere effektiv måde at arbejde på. I dette whitetpaper kan du derfor læse om, hvordan du kan skabe et mere effektivt og brugervenligt arbejdsrum uanset tid, sted og enhed. En løsning der på en gang er både enkel og som sætter brugeren i centrum.