Artikel top billede

(Foto: Alexander Haslund)

Ny beretning: Statens It og fire andre danske myndigheder fejler på it-sikkerheden

Fem danske myndigheder - herunder statens It, som leverer sikkerhed til flere statsenheder - lever ikke op til en række tekniske minimunskrav. Det skriver Statsrevisoren efter besøg hos de fem myndigheder.

Manglende opdateringer, ingen kryptering, ingen opsyn med mail-relays, hverken to-faktor-godkendelse eller VPN-systemer og nul logning...

Mellem marts og september 2021 havde fem myndigheder besøg af statsrevisorerne, der skulle tjekke om enhederne overholdt i alt 20 tekniske minimumskrav, som skal sikre myndighederne i deres cyberforsvar.

Den nedslående konklusion i Rigsrevisionens rapport fra besøgene lyder: Ingen af de fem myndigheder, der var udvalgt til stikprøveanalysen, kunne præstere at efterleve alle 20 tekniske minimumskrav.

De fem myndigheder, der var udtaget til tilsyn, og som nu får kritik, er:

- Statens It (under Finansministeriet),

- Kriminalforsorgen (Justitsministeriet),

- Sundhedsdatastyrelsen (Sundhedsministeriet),

- Energistyrelsen (Klima-, Energi- og Forsyningsministeriet)

- og Fødevarestyrelsen (Ministeriet for Fødevarer, Landbrug og Fiskeri)

Det er dog Statens It, der har ansvar for at sikre mindst 13 af de 20 krav for Fødevarestyrelsen og Energistyrelsen, da denne er leverandør til disse myndigheder.

De 20 krav inkluderer sikkerhed på områderne "klienter/pc'er", "mails", "websider", "mobile enheder" og "netværk".

De fem myndigheder, skriver statsrevisorerne, er udvalgt, "fordi de varetager samfundsvigtige opgaver og/eller håndterer følsomme oplysninger om borgerne."

Derfor er det særligt skuffende, at ingen af de fem myndigheder lever op til alle de nødvendige krav.

"Konsekvensen er, at myndighederne har haft sårbarheder i deres it-systemer og på deres mobiltelefoner og tablets, hvilket har medført en øget risiko for cyberangreb og misbrug," skriver Rigsrevisionen i sin konklussion af de fem ministerier.

"Statsrevisorerne finder det utilfredsstillende, at hverken Statens It eller nogen af de fire andre statslige myndigheder har efterlevet alle de tekniske minimumskrav til it-sikkerheden i staten, på trods af at de trådte i kraft for 1-1½ år siden. Sårbarhed i myndighedernes it-systemer, hjemmesider, mobiltelefoner og tablets har således medført øget risiko for cyberangreb og misbrug," lyder kritikken.

Risiko for datalæk, spionage og ....

Sundhedsdatastyrelsen efterlever i alt 12 ud af de 20 tekniske minimunskrav, der skal sikre myndigheden mod cyberangreb og -misbrug. Det efterlader otte krav, der ikke er imødekommet af enheden.

Energistyrelsen formår at efterleve 15 ud af de 20 krav, hvilket efterlader fem krav, der endnu ikke er imødekommet.

Hos Kriminalforsorgen er 16 krav overholdt - fire at følge op på.

Fødevarestyrelsen efterkommer 17, og Statens It, for sit eget vedkommende, overholder 18 af kravene.

Det er særligt krav nummer 13, der volder myndighederne besvær. Kravet om regelmæssig opdatering af mobile enheder. Denne disciplin dumper alle fem myndigheder, og efterlader dermed en risiko for at sikkerhedshuller i mobilens system udnyttes af ondsindede aktører.

Resultatet kan være både datalæk, aflytning og overvågning via kamera eller mikrofon.

Også krav nummer 18 er en udfordring. Her er fire ud af fem myndigheder ikke opdaterede. Kravet handler om kryptering af kommunikation til hjemmesider.

Risikoen vurderes at være utilsigtet adgang til filer og tekst på forbindelsen samt risiko for, at myndighedens data kan blivet ændret eller falde i forkert hænder.

Det er kun Kriminalforsorgen, der går fri af denne forseelse.

Andre af de krav, som en eller flere af myndighederne ikke har styr på, skaber rum for spedning af spam, malware eller phishingkampagner, hvor "en afsender udgiver sig for at være den pågældende myndighed, fx i mails til medarbejdere eller borgere".

[url=https://rigsrevisionen.dk/revisionssager-arkiv/2022/jan/beretning-om-5-statslige-myndigheders-efterlevelse-af-20-tekniske-minimumskrav-til-it-sikkerheden?https://www.rigsrevisionen.dk/publikationer/2020/12020/]Læs hele beretningen her[/url].




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere