Ny beretning: Statens It og fire andre danske myndigheder fejler på it-sikkerheden

Fem danske myndigheder - herunder statens It, som leverer sikkerhed til flere statsenheder - lever ikke op til en række tekniske minimunskrav. Det skriver Statsrevisoren efter besøg hos de fem myndigheder.

Artikel top billede

(Foto: Alexander Haslund)

Manglende opdateringer, ingen kryptering, ingen opsyn med mail-relays, hverken to-faktor-godkendelse eller VPN-systemer og nul logning...

Mellem marts og september 2021 havde fem myndigheder besøg af statsrevisorerne, der skulle tjekke om enhederne overholdt i alt 20 tekniske minimumskrav, som skal sikre myndighederne i deres cyberforsvar.

Den nedslående konklusion i Rigsrevisionens rapport fra besøgene lyder: Ingen af de fem myndigheder, der var udvalgt til stikprøveanalysen, kunne præstere at efterleve alle 20 tekniske minimumskrav.

De fem myndigheder, der var udtaget til tilsyn, og som nu får kritik, er:

- Statens It (under Finansministeriet),

- Kriminalforsorgen (Justitsministeriet),

- Sundhedsdatastyrelsen (Sundhedsministeriet),

- Energistyrelsen (Klima-, Energi- og Forsyningsministeriet)

- og Fødevarestyrelsen (Ministeriet for Fødevarer, Landbrug og Fiskeri)

Det er dog Statens It, der har ansvar for at sikre mindst 13 af de 20 krav for Fødevarestyrelsen og Energistyrelsen, da denne er leverandør til disse myndigheder.

De 20 krav inkluderer sikkerhed på områderne "klienter/pc'er", "mails", "websider", "mobile enheder" og "netværk".

De fem myndigheder, skriver statsrevisorerne, er udvalgt, "fordi de varetager samfundsvigtige opgaver og/eller håndterer følsomme oplysninger om borgerne."

Derfor er det særligt skuffende, at ingen af de fem myndigheder lever op til alle de nødvendige krav.

"Konsekvensen er, at myndighederne har haft sårbarheder i deres it-systemer og på deres mobiltelefoner og tablets, hvilket har medført en øget risiko for cyberangreb og misbrug," skriver Rigsrevisionen i sin konklussion af de fem ministerier.

"Statsrevisorerne finder det utilfredsstillende, at hverken Statens It eller nogen af de fire andre statslige myndigheder har efterlevet alle de tekniske minimumskrav til it-sikkerheden i staten, på trods af at de trådte i kraft for 1-1½ år siden. Sårbarhed i myndighedernes it-systemer, hjemmesider, mobiltelefoner og tablets har således medført øget risiko for cyberangreb og misbrug," lyder kritikken.

Risiko for datalæk, spionage og ....

Sundhedsdatastyrelsen efterlever i alt 12 ud af de 20 tekniske minimunskrav, der skal sikre myndigheden mod cyberangreb og -misbrug. Det efterlader otte krav, der ikke er imødekommet af enheden.

Energistyrelsen formår at efterleve 15 ud af de 20 krav, hvilket efterlader fem krav, der endnu ikke er imødekommet.

Hos Kriminalforsorgen er 16 krav overholdt - fire at følge op på.

Fødevarestyrelsen efterkommer 17, og Statens It, for sit eget vedkommende, overholder 18 af kravene.

Det er særligt krav nummer 13, der volder myndighederne besvær. Kravet om regelmæssig opdatering af mobile enheder. Denne disciplin dumper alle fem myndigheder, og efterlader dermed en risiko for at sikkerhedshuller i mobilens system udnyttes af ondsindede aktører.

Resultatet kan være både datalæk, aflytning og overvågning via kamera eller mikrofon.

Også krav nummer 18 er en udfordring. Her er fire ud af fem myndigheder ikke opdaterede. Kravet handler om kryptering af kommunikation til hjemmesider.

Risikoen vurderes at være utilsigtet adgang til filer og tekst på forbindelsen samt risiko for, at myndighedens data kan blivet ændret eller falde i forkert hænder.

Det er kun Kriminalforsorgen, der går fri af denne forseelse.

Andre af de krav, som en eller flere af myndighederne ikke har styr på, skaber rum for spedning af spam, malware eller phishingkampagner, hvor "en afsender udgiver sig for at være den pågældende myndighed, fx i mails til medarbejdere eller borgere".

[url=https://rigsrevisionen.dk/revisionssager-arkiv/2022/jan/beretning-om-5-statslige-myndigheders-efterlevelse-af-20-tekniske-minimumskrav-til-it-sikkerheden?https://www.rigsrevisionen.dk/publikationer/2020/12020/]Læs hele beretningen her[/url].

Læses lige nu

    Navnenyt fra it-Danmark

    TDC Erhverv har pr. 1. maj 2026 ansat Peter Bjerregaard Harden som Senior Vice President (SVP), Enterprise Sales. Peter skal især beskæftige sig med at drive transformationen mod at blive en førende, kundecentreret partner inden for Cloud, Cyber og integrerede ICT-løsninger. Peter kommer fra en stilling som Country Manager hos Google Cloud Danmark. Peter er uddannet Cand. Merc (AU), HD, Organisation og Ledelse (CBS), Bestyrelsesuddannelse (CBS). Peter har tidligere beskæftiget sig med at opbygge Google Cloud i Danmark samt roller hos Microsoft, Salesforce og i management consulting. Nyt job
    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS