Artikel top billede

Direktør efter skarp kritik for manglende it-sikkerhed i Forsvaret: "Den normale risikovurdering er ikke opdateret for nylig og er desværre dermed ikke i orden"

Rigsrevisionen kritiserer Forsvarsministeriet i skarpe vendinger for ikke at risikovurdere kritiske it-systemer. Den ansvarlige direktør, Kristian Vengsgaard, vil ikke stille op til interview, men kun svare per mail via en pressechef.

“Koncern-it er som alle andre nødt til at prioritere ressourcerne. Desværre har den normale dokumentationsmodel været udfordret under denne prioritering.”

Sådan lyder begrundelsen fra Forsvarets Materiel- og Indkøbsstyrelse for, at man ikke har risikovurderet forsvarets kritiske it-systemer og it-driftscentre.

Det har ministeriet fået tæsk for af Rigsrevisionen, hvilket du kan læse mere om her: Elendig it-sikkerhed hos Forsvaret: Kritiske systemer kan bryde sammen ved cyberangreb

Ansvaret ligger hos Kapacitetsansvarlig Koncern-it under Forsvarets Materiel- og Indkøbsstyrelse, der i en rapport fra Rigsrevisionen får skarp kritik for sløset it-sikkerhed.

Det er tre år siden, at Forsvarsministeriet fik besked på at risikovurdere de vigtige it-systemer, men det er ifølge Rigsrevisionen stadig ikke sket.

“Rigsrevisionen finder det utilfredsstillende, at Forsvarsministeriet efter tre år endnu ikke har rettet op på mangler, der betyder, at Forsvarets it-driftscentre og it-systemer ikke er beskyttet tilstrækkeligt mod nedbrud i tilfælde af angreb,” hedder det i rapporten.

Læs også: Forældet it hos Forsvaret er ikke blevet sikkerhedsopdateret siden 2010: "Det er jo decideret lokkemad for hackere," siger it-ekspert

Direktøren for Koncern-it, Kristian Vengsgaard, afviser at stille op til interview med Computerworld for at fortælle, hvordan man forholder sig til kritikken.

Pressechefen fra Forsvarets Materiel- og Indkøbsstyrelse har forlangt, at vi via denne sender spørgsmål på skrift til Kristian Vengsgaard, hvorefter vi fra pressechefen har modtaget svar fra ham på de skriftlige spørgsmål.

Ifølge svarene er det ikke rigtigt, at man ikke har risikovurderet systemerne. Man har bare ikke dokumenteret risikovurderingen, lyder det.

“Det er helt korrekt bemærket, at den normale risikovurdering ikke er opdateret for nylig og desværre dermed ikke i orden. Årsagen hertil er, at der foretages en meget dynamisk risikovurdering. Således vurderes risici og trusler konstant 24 timer i døgnet,” lyder det i mailen fra Forsvarets Materiel- og Indkøbsstyrelse med Kristian Vengsgaard som afsender.

Han tilføjer, at styrelsen i samarbejde med Center for Cybersikkerhed (CFCS) er ved at få en formel risikovurdering på plads.

Den forventes at være klar “inden for kort tid.”

Dårlige sager hober sig op

Den tre år gamle sag er langt fra den eneste dårlige historie om it-sikkerheden hos det danske forsvar.

Russiske hackere har i både 2015 og 2016 haft adgang til et internt mailsystem hos Forsvaret.

Og i foråret kunne Computerworld fortælle, at Forsvaret kører forældet software, der ikke modtager sikkerhedsopdateringer, på internetforbundne servere.

Heller ikke dengang ville man stille op til interview.

Det kan du læse mere om her: Efter tre uger er der omsider svar fra Center for Cybersikkerhed om Forsvarets dårlige it-sikkerhed: "Der henvises til besvarelse af spørgsmål 1"

Forsvarets Materiel- og Indkøbsstyrelse understreger dog i den skriftlige henvendelse til Computerworld, at det ikke er udtryk for manglende fokus, at man efter tre år ikke har fået styr på den manglende risikovurdering af kritiske it-systemer.

“Den manglende formelle dokumentation fra Forsvarsministeriets Materiel og Indkøbsstyrelse (FMI) kan lede til det indtryk, at it-sikkerhed er et nedprioriteret område i FMI og Forsvaret i øvrigt. Det er det ikke. Der er meget høj fokus på it-sikkerhed i alt hvad Koncern-it foretager sig på systemsiden, og der anvendes rigtig mange kræfter på konstant at sikre og beskytte Forsvarets systemer,” lyder det.

Opdateret: Artiklen er opdateret for at præcisere, at Forsvarets Materiel- og Indkøbsstyrelse ikke organisatorisk er en del af Forsvaret. Styrelsens pressechef har desuden bedt Computerworld om at anføre Kristian Vengsgaard, direktør i Kapacitetsansvarlig Koncern-it, som afsender i stedet for Flemming Lentfer, er er direktør for hele Forsvarets Materiel- og Indkøbsstyrelse. Computerworld har valgt at efterkomme ønsket, da det ikke er muligt at faktatjekke, hvilken direktør, der har skrevet svarene, fordi ingen fra styrelsen vil stille op til interview om sagen.

Læs også: 

Elendig it-sikkerhed hos Forsvaret: Kritiske systemer kan bryde sammen ved cyberangreb

Sikkerhedsekspert kritiserer Forsvarets it-sikkerhed: "Der er bedre sikkerhed på mange Gmail-konti"

Forældet it hos Forsvaret er ikke blevet sikkerhedsopdateret siden 2010: "Det er jo decideret lokkemad for hackere," siger it-ekspert

Hackerangreb mod Forsvaret: Her er tre ting, vi ved om angrebet - og alle de ubesvarede spørgsmål




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Strategisk IT-sikkerhedsdag 2022 - identificer, beskyt og forsvar

IT-sikkerhedstruslerne mod virksomhederne er i takt med tiden blevet større og værre, fordi virksomhederne er mere end nogensinde før afhængige af data og IT. Det stiller krav til de IT-ansvarlige, der konstant skal tage bestik af det skiftende trusselniveau. Det kræver blandt andet, at it-sikkerhed bliver sat på den strategiske dagsorden i virksomhederne – men hvordan?

25. januar 2022 | Læs mere


Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere