Artikel top billede

Vigtig rapport afslører: Her er fire slemme it-fejl hos Skat

Manglende styr på medarbejdernes brugerrettigheder samt på kontrollen af sikkerheden hos eksterne it-leverandører har været blandt Skats store it-udfordringer, fremgår det af en rapport fra statsrevisionerne.

Det danske statsregnskab er rigtig fint, mener statsrevisorerne, som for nyligt har afleveret deres beretning til Folketinget.

Der bliver dog set med stor alvor på kritiske fejl hos Skat, herunder implementeringen af det nu kuldsejlede it-projekt EFI, som blandt andet ikke har kunnet håndtere gammel skattegæld til staten.

"Skats utilstrækkelige håndtering af forældede restancer har medført, at restancer på mindst 1,3 mia. kr. er tabt for det offentlige," hedder det i statsrevisorernes beretning til Folketinget.

Rod i brugerrettigheder

Også Skats it-sikkerhed får på puklen af statsrevisorerne, som har undersøgt adgangsstyringen til systemerne i flere myndigheder.

Adgangsstyringen skal sikre, at ingen pilfingre og nysgerrige øjne kommer ind i statens systemer med oplysninger om alle danskere, hvor fortrolige data kan bruges, ændres eller downloades.

Ved gennemgang at it-sikkerheden hos Skat lyder skudsmålet:

"Skat har ikke en tilstrækkelig adgangsstyring, idet Skat ikke foretager revurdering af oprettede brugere og disses rettigheder. Skat behandler mange fortrolige oplysninger om borgere og virksomheder og er meget afhængig af, at it-sikkerheden omkring disse systemer og data er tilstrækkelig."

Herudover bliver adgangsstyringen også kritiseret hos Finansministeriets koncerner herunder Digitaliseringsstyrelsen for svagheder i oprettelse og ændringer af brugerkonti.

Samtidig bliver det bemærket, at Geodatastyrelsen har givet lokale administrationsrettigheder til alle sine medarbejdere, så de har kunnet hente og installere alt, hvad skulle have haft lyst til på deres maskiner.

Forsvaret uden beredskab 
Statsrevisorerne har ydermere undersøgt myndighedernes it-beredskabsplaner til håndtering af fortsat drift ved nedbrud.

Og igen må Skat lægge kind til en sikkerhedslussing, da Skat ikke på tværs af organisationen havde afprøvet sin beredskabsplan for genetablering af forretningsprocesser og understøttende it-systemer.

I beretningen fremgår det desuden, at hos Forsvarskommandoen havde man slet ikke udarbejdet retningslinjer for beredskabsstyring.

"...og havde ikke en opdateret beredskabsplan for it-infrastrukturen, ligesom beredskabsplanen
for DeMars ikke var opdateret og testet siden 2012."

Uden sikkerhed for sikkerhed 
Den fjerde it-røffel til Skat går på, at skattefar ikke indhenter revisorerklæringer for flere væsentlige it-systemer hos sin it-outsourcing-leverandører på ældre kontrakter.

Det bevirker, at der mangler kontrol med sikkerheden af de mange af Skats systemer, der ligger på servere ude hos eksterne leverandører. 

"Skat kan derfor ikke fastslå, om it-leverandøren har etableret de nødvendige kontroller til opretholdelse af et tilfredsstillende it-sikkerhedsniveau," skriver de seks statsrevisorer.

Læs også:
Efter EFI: Skatteministeriet kaster millioner i nyt it-system - vil selv udvikle det

Skat-direktør efter kaotisk premiere på nyt it-system: Jeg er da mega-stolt




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital vækst 2024

På Digital Vækst 2024 bringer vi danske virksomheders organisation, forretning og data i spil samt spejler dem i det, som teknologipartnerne bringer til fadet. Konferencen bliver tætpakket med dygtige digitale ledere og frontkæmpere fra ind- og udland. De har én opgave på dagsordenen: At inspirere dig til at træffe de rigtige forretningsmæssige, teknologiske og strategiske valg i 2024, som kan sikre vækst for dig.

19. marts 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de IT-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

20. marts 2024 | Læs mere


AI Impact Day: Har du styr på risiko og governance – og er du klar til AI Act?

AI og Machine Learning har for længst gjort sit indtog i centrale, kritiske forretningssystemer, og både udviklere, platformleverandører og koncerner er begyndt at udforske mulighederne. På dette eksklusive event dykker vi ned i AI's indflydelse på fremtidens forretnings- og IT-drift. Men vi ser også på, hvordan du mest effektivt arbejder med governance og risikostyring på dine AI-projekter.

21. marts 2024 | Læs mere