It-sikkerheden sejler i Statens IT, der også sidste år fik hård kritik for sit sikkerheds-niveau.
Det kan du læse mere om her: Rigsrevisionen: Så slemt står det til med it i danske ministerier.
Sådan lyder konklusionen i Rigsrevisionens nye beretning, der gennemgår en stribe forhold i de danske ministerier.
Statens It står for drift og vedligeholdelse af it-systemerne i omkring 80 offentlige organisationer, men har haft svært ved at bestå eksaminationen af Rigsrevisionens folk.
Der er nemlig fortsat "væsentlige svagheder" hos Statens It, når det gælder it-sikkerhed, selv om der er sket forbedringer i forhold til i fjor.
Mangler overblik
Ifølge Rigsrevisionen ved Statens It eksempelvis ikke, om programmer og system-software er tilstrækkeligt sikkerhedsopdateret, ligesom der mangler procedurer og kontroller for sikkerhedsopdateringerne, hedder det.
Ligeledes mangler Statens It en beredskabsplan, der beskriver, hvordan driften skal genetableres efter et nedbrud.
Manglende beredskabsplaner kan få alvorlige konsekvenser, hvilket et nedbrud på en række danske sygehuse for nylig understregede.
Det kan du læse mere om her: Nødprocedurerne aldrig testet før kæmpe EPJ-nedbrud
'Stærkt påkrævet'
Rigsrevisionen skriver, at Statens It i dag er så fokuseret på sit arbejde mod at blive ISO 27001-certificeret inden årets udgang, at det vil 'være en udfordring' at rette op på it-sikkerheden, hvilket findes 'stærkt påkrævet.'
Hertil kommer, at Statens It ikke har udarbejdet tilstrækkelige vejledninger til organisationens offentlige kunder, som de kan anvende til at få fælles fodslag på it-sikkerhedsområdet efter en fællesoffentlig standard, som det hedder.
Disse vejledninger har ellers til hensigt blandt andet at sikre, at personlige oplysninger om danskerne er tilstrækkeligt beskyttede.
Rigsrevisionen konkluderer også, at der ikke er "tilfredsstillende kvalitet" i regnskabsaflæggelsen for Statens It.
Præget af ad hoc-beslutninger
Rigsrevisionen har også hårde ord til andre offentlige organisationer.
Blandt andet påpeger revisorerne, at it-sikkerheden i Ministeriet for Sundhed og Forebyggelse har sejlet.
Det skyldes, at tilsynet med it-sikkerheden i det vigtige ministerium helt har manglet styring.
I stedet har det været præget af "ad hoc-beslutninger snarere end en planlagt og styret proces," hedder det.