Artikel top billede

(Foto: Alexander Haslund)

Ny beretning: Statens It og fire andre danske myndigheder fejler på it-sikkerheden

Fem danske myndigheder - herunder statens It, som leverer sikkerhed til flere statsenheder - lever ikke op til en række tekniske minimunskrav. Det skriver Statsrevisoren efter besøg hos de fem myndigheder.

Manglende opdateringer, ingen kryptering, ingen opsyn med mail-relays, hverken to-faktor-godkendelse eller VPN-systemer og nul logning...

Mellem marts og september 2021 havde fem myndigheder besøg af statsrevisorerne, der skulle tjekke om enhederne overholdt i alt 20 tekniske minimumskrav, som skal sikre myndighederne i deres cyberforsvar.

Den nedslående konklusion i Rigsrevisionens rapport fra besøgene lyder: Ingen af de fem myndigheder, der var udvalgt til stikprøveanalysen, kunne præstere at efterleve alle 20 tekniske minimumskrav.

De fem myndigheder, der var udtaget til tilsyn, og som nu får kritik, er:

- Statens It (under Finansministeriet),

- Kriminalforsorgen (Justitsministeriet),

- Sundhedsdatastyrelsen (Sundhedsministeriet),

- Energistyrelsen (Klima-, Energi- og Forsyningsministeriet)

- og Fødevarestyrelsen (Ministeriet for Fødevarer, Landbrug og Fiskeri)

Det er dog Statens It, der har ansvar for at sikre mindst 13 af de 20 krav for Fødevarestyrelsen og Energistyrelsen, da denne er leverandør til disse myndigheder.

De 20 krav inkluderer sikkerhed på områderne "klienter/pc'er", "mails", "websider", "mobile enheder" og "netværk".

De fem myndigheder, skriver statsrevisorerne, er udvalgt, "fordi de varetager samfundsvigtige opgaver og/eller håndterer følsomme oplysninger om borgerne."

Derfor er det særligt skuffende, at ingen af de fem myndigheder lever op til alle de nødvendige krav.

"Konsekvensen er, at myndighederne har haft sårbarheder i deres it-systemer og på deres mobiltelefoner og tablets, hvilket har medført en øget risiko for cyberangreb og misbrug," skriver Rigsrevisionen i sin konklussion af de fem ministerier.

"Statsrevisorerne finder det utilfredsstillende, at hverken Statens It eller nogen af de fire andre statslige myndigheder har efterlevet alle de tekniske minimumskrav til it-sikkerheden i staten, på trods af at de trådte i kraft for 1-1½ år siden. Sårbarhed i myndighedernes it-systemer, hjemmesider, mobiltelefoner og tablets har således medført øget risiko for cyberangreb og misbrug," lyder kritikken.

Risiko for datalæk, spionage og ....

Sundhedsdatastyrelsen efterlever i alt 12 ud af de 20 tekniske minimunskrav, der skal sikre myndigheden mod cyberangreb og -misbrug. Det efterlader otte krav, der ikke er imødekommet af enheden.

Energistyrelsen formår at efterleve 15 ud af de 20 krav, hvilket efterlader fem krav, der endnu ikke er imødekommet.

Hos Kriminalforsorgen er 16 krav overholdt - fire at følge op på.

Fødevarestyrelsen efterkommer 17, og Statens It, for sit eget vedkommende, overholder 18 af kravene.

Det er særligt krav nummer 13, der volder myndighederne besvær. Kravet om regelmæssig opdatering af mobile enheder. Denne disciplin dumper alle fem myndigheder, og efterlader dermed en risiko for at sikkerhedshuller i mobilens system udnyttes af ondsindede aktører.

Resultatet kan være både datalæk, aflytning og overvågning via kamera eller mikrofon.

Også krav nummer 18 er en udfordring. Her er fire ud af fem myndigheder ikke opdaterede. Kravet handler om kryptering af kommunikation til hjemmesider.

Risikoen vurderes at være utilsigtet adgang til filer og tekst på forbindelsen samt risiko for, at myndighedens data kan blivet ændret eller falde i forkert hænder.

Det er kun Kriminalforsorgen, der går fri af denne forseelse.

Andre af de krav, som en eller flere af myndighederne ikke har styr på, skaber rum for spedning af spam, malware eller phishingkampagner, hvor "en afsender udgiver sig for at være den pågældende myndighed, fx i mails til medarbejdere eller borgere".

[url=https://rigsrevisionen.dk/revisionssager-arkiv/2022/jan/beretning-om-5-statslige-myndigheders-efterlevelse-af-20-tekniske-minimumskrav-til-it-sikkerheden?https://www.rigsrevisionen.dk/publikationer/2020/12020/]Læs hele beretningen her[/url].




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datadrevet forretning 2022: Sæt data på den strategiske dagsorden

Lær hvordan du tænker automatisering, data og digitalisering ind i dagligdagen, over for kunderne og hvordan du får skabt ny forretning.

31. maj 2022 | Læs mere


Sådan gør du din forsyningskæde mere robust

Vi sætter fokus på standardværktøjer og tillægsløsninger til Microsoft Dynamics 365 FO i produktionsvirksomheder, som vil planlægge og drive en effektiv supply chain.

31. maj 2022 | Læs mere


Kom hackerne i forkøbet: Sådan gør du din cybersikkerhed kampklar

Kom hackerne i forkøbet. Eksperter deler de bedste erfaring til, hvordan du øger din cybersikkerhed.

01. juni 2022 | Læs mere






CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?