Artikel top billede

Danske regioners it-sikkerhed sejler: 27.000 medarbejdere har admin-rettigheder i en af regionerne

Tre danske regioner får kritik for ikke at beskytte adgangen til it-systemer og sundhedsdata godt nok. Blandt andet har 27.000 medarbejdere i en af regionerne administratorrettigheder. Samtidig er der eksempler på, at adgangskoder ikke er udskiftet i op til ni år.

Hverken Region Syddanmark, Region Midtjylland eller Region Hovedstaden beskytter adgangen til it-systemer og sundhedsdata på en tilfredsstillingende måde.

Det lyder konklusionen i en ny udtalelse fra statsrevisorerne under Rigsrevisionen.

Statsrevisorerne har den 15. november behandlet sagen med regionerne, der som bekendt har ansvaret for at beskytte borgernes sundhedsdata. Det fører til en beretning til Folketinget, hvor man blandt andet kan læse:

“Statsrevisorerne finder, at de tre regioners beskyttelse af adgangen til it-systemer og sundhedsdata ikke er tilfredsstillende.”

“Hermed er der risiko for, at følsomme og fortrolige persondata kommer i hænderne på uvedkommende eller ikke er pålidelige og tilgængelige, når der er brug for dem,” skriver statsrevisorerne.

27.000 har admin-rettigheder

Statsrevisorerne begrunder blandt andet kritikken af regionerne med, at “sikringstiltag mod hackerangreb ikke i tilstrækkelig grad er implementeret i nogen af de tre regioner.”

“Særligt kritisk er det, at 27.000 medarbejdere i Region Syddanmark har lokaladministratorrettigheder, da det øger risikoen for hackermisbrug.”

Samtidig skriver statsrevisorerne, at styring og kontrol af medarbejdere med privilegerede rettigheder er mangelfuld i alle tre regioner.

Blandt andet er der utilstrækkelig begrænsning af mulighederne for at tilgå internettet, når der logges på med privilegerede rettigheder, lyder det.

Adgangskoder ikke skiftet i ni år

I bemærkningen kan man også læse, at der tilsyneladende slet ikke er styr på adgangskoderne, da man i to af regionerne på ingen måder lever op til god praksis på området:

“At Region Syddanmark og Region Hovedstaden har passwords til system- og servicekonti, der ikke har været skiftet i lang tid – op til ni år – og passwords, der ikke lever op til god praksis.”

“At alle tre regioners logningstiltag er mangelfulde, hvilket gør det vanskeligt at opdage og opklare hackerangreb og misbrug af rettigheder."

"Region Midtjylland har ikke implementeret nogen af de undersøgte logningstiltag, selv om regionen har udarbejdet en politik for området," skriver statsrevisorerne blandt andet i beretningen til Folketinget.

Læs også:

Otte danske myndigheder undersøgt af Datatilsynet - de syv bryder persondataloven

Lad hammeren falde over alle offentlige myndigheder, der sjusker med vores persondata: Giv dem kæmpebøder



Premium
Test: Derfor vil jeg gerne have Google ind i min næste bil - og det er dårligt nyt for nogle bilproducenter
Googles Android Automotive er et vellykket styresystem til bilen, der vender op og ned på magtbalancen i bilbranchen. Computerworld har prøvekørt softwaren og har dommen klar.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Så ofte rammer din sikkerhedsleverandør plet – eller helt ved siden af
Denne uafhængige evaluering fra MITRE ATT&CK giver et billede af styrker og svagheder hos førende udbydere af cybersikkerhedsydelser. Rapporten vurderer bl.a. reaktion og træfsikkerhed på simulerede angreb og af, hvor hurtigt der slås alarm.