Manglende opdateringer, ingen kryptering, ingen opsyn med mail-relays, hverken to-faktor-godkendelse eller VPN-systemer og nul logning...
Mellem marts og september 2021 havde fem myndigheder besøg af statsrevisorerne, der skulle tjekke om enhederne overholdt i alt 20 tekniske minimumskrav, som skal sikre myndighederne i deres cyberforsvar.
Den nedslående konklusion i Rigsrevisionens rapport fra besøgene lyder: Ingen af de fem myndigheder, der var udvalgt til stikprøveanalysen, kunne præstere at efterleve alle 20 tekniske minimumskrav.
De fem myndigheder, der var udtaget til tilsyn, og som nu får kritik, er:
- Statens It (under Finansministeriet),
- Kriminalforsorgen (Justitsministeriet),
- Sundhedsdatastyrelsen (Sundhedsministeriet),
- Energistyrelsen (Klima-, Energi- og Forsyningsministeriet)
- og Fødevarestyrelsen (Ministeriet for Fødevarer, Landbrug og Fiskeri)
Det er dog Statens It, der har ansvar for at sikre mindst 13 af de 20 krav for Fødevarestyrelsen og Energistyrelsen, da denne er leverandør til disse myndigheder.
De 20 krav inkluderer sikkerhed på områderne "klienter/pc'er", "mails", "websider", "mobile enheder" og "netværk".
De fem myndigheder, skriver statsrevisorerne, er udvalgt, "fordi de varetager samfundsvigtige opgaver og/eller håndterer følsomme oplysninger om borgerne."
Derfor er det særligt skuffende, at ingen af de fem myndigheder lever op til alle de nødvendige krav.
"Konsekvensen er, at myndighederne har haft sårbarheder i deres it-systemer og på deres mobiltelefoner og tablets, hvilket har medført en øget risiko for cyberangreb og misbrug," skriver Rigsrevisionen i sin konklussion af de fem ministerier.
"Statsrevisorerne finder det utilfredsstillende, at hverken Statens It eller nogen af de fire andre statslige myndigheder har efterlevet alle de tekniske minimumskrav til it-sikkerheden i staten, på trods af at de trådte i kraft for 1-1½ år siden. Sårbarhed i myndighedernes it-systemer, hjemmesider, mobiltelefoner og tablets har således medført øget risiko for cyberangreb og misbrug," lyder kritikken.
Risiko for datalæk, spionage og ....
Sundhedsdatastyrelsen efterlever i alt 12 ud af de 20 tekniske minimunskrav, der skal sikre myndigheden mod cyberangreb og -misbrug. Det efterlader otte krav, der ikke er imødekommet af enheden.
Energistyrelsen formår at efterleve 15 ud af de 20 krav, hvilket efterlader fem krav, der endnu ikke er imødekommet.
Hos Kriminalforsorgen er 16 krav overholdt - fire at følge op på.
Fødevarestyrelsen efterkommer 17, og Statens It, for sit eget vedkommende, overholder 18 af kravene.
Det er særligt krav nummer 13, der volder myndighederne besvær. Kravet om regelmæssig opdatering af mobile enheder. Denne disciplin dumper alle fem myndigheder, og efterlader dermed en risiko for at sikkerhedshuller i mobilens system udnyttes af ondsindede aktører.
Resultatet kan være både datalæk, aflytning og overvågning via kamera eller mikrofon.
Også krav nummer 18 er en udfordring. Her er fire ud af fem myndigheder ikke opdaterede. Kravet handler om kryptering af kommunikation til hjemmesider.
Risikoen vurderes at være utilsigtet adgang til filer og tekst på forbindelsen samt risiko for, at myndighedens data kan blivet ændret eller falde i forkert hænder.
Det er kun Kriminalforsorgen, der går fri af denne forseelse.
Andre af de krav, som en eller flere af myndighederne ikke har styr på, skaber rum for spedning af spam, malware eller phishingkampagner, hvor "en afsender udgiver sig for at være den pågældende myndighed, fx i mails til medarbejdere eller borgere".
[url=https://rigsrevisionen.dk/revisionssager-arkiv/2022/jan/beretning-om-5-statslige-myndigheders-efterlevelse-af-20-tekniske-minimumskrav-til-it-sikkerheden?https://www.rigsrevisionen.dk/publikationer/2020/12020/]Læs hele beretningen her[/url].
