Ministerier ligger åbne for hackere

IT-sikkerheden i blandt andet Finansministeriet er så dårlig, at der ifølge Rigsrevisionen er »stor risiko« for misbrug af fortrolige data. IT-Branchen kræver national strategi mod cyberangreb.

Rigsrevisor Lone Strøm kommer med skarp kritik af den manglende IT-sikkerhed i staten. Arkivfoto: Liselotte Sabroe Fold sammen
Læs mere
Foto: Liselotte Sabroe
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

IT-sikkerheden i den danske stat er så dårlig, at der er »en unødig stor risiko for hackerangreb og misbrug af IT-systemer og fortrolige data«.

Den sønderlemmende kritik kommer Rigsrevisionen med, efter at dens undersøgelse af en række statslige virksomheder og institutioner viser, at IT-systemer og fortrolige data i Finansministeriet og Klima-, Energi- og Bygningsministeriet reelt har ligget åbne for hackere.

Samtidig er staten ikke selv klar over, hvilken risiko man udsætter sig for, ligesom det fortaber sig i tågerne, om det er statsinstitutionen selv eller det centrale Statens IT, der skal sikre, at alle digitale hængelåse er sat rigtigt på, så hackere kan holdes ude. Statens IT står for IT-driften i omkring 80 statsinstitutioner.

Ikke ordentligt beskyttet

Konklusionen kommer på baggrund af Rigsrevisionens undersøgelse af Statens IT, Digitaliseringsstyrelsen under Finansministeriet, Klima-, Energi- og Bygningsministeriets departement og Energiministeriet. Det sker, efter at der det seneste år har været flere succesfulde hackerangreb mod statslige institutioner, hvor det ikke lykkedes at holde hackerne ude, og hvor det ikke kan afvises, at IT-systemer eller data er blevet misbrugt.

»Rigsrevisionen finder, at de data, som de undersøgte statslige virksomheder var ansvarlige for, på undersøgelsestidspunktet ikke var tilstrækkeligt beskyttet, og at der med det konstaterede sikkerhedsniveau var en unødig stor risiko for hackerangreb og misbrug af IT-systemer og fortrolige data. Undersøgelsen viste, at ingen af de undersøgte virksomheder i deres risikovurderinger havde håndteret den risiko, de udsatte sig for. Rigsrevisionen vurderer desuden, at opgavesplittet mellem Statens IT og virksomhederne – hvad angår sikring mod hackerangreb – ikke er klart,« står der i den rapport, som rigsrevisor Lone Strøm har afleveret.

Foruroligende resultater

Statsinstitutionerne har blandt andet ikke sat begrænsninger op for, at brugerne kan hente programmer fra nettet og siden installere dem på deres egne computere, og kun to af fire - nemlig Statens IT og Energistyrelsen - sikkerhedsopdaterer systematisk deres programmer.

Rigsrevisionen mener, at »en større kreds« af statsinstitutioner har præcis samme problem.

Folketingets statsrevisorer er rystede over situationen.

»Statsrevisorerne finder det foruroligende, at der i de undersøgte statslige virksomheder har været utilstrækkelig sikring mod hackerangreb og utilstrækkelig beskyttelse af IT-systemer og fortrolige digitale data. Statslige virksomheder opbevarer store mængder fortrolige data o er ansvarlige for at beskytte disse oplysninger. Det drejer sig bl.a. om kommercielt fortrolige og personfølsomme data. Disse data skal opbevares sikkert, og der bør etableres tekniske sikringstiltag, som kan styrke sikkerheden, forebygge hackerangreb og mindske risikoen for misbrug af IT-systemer og fortrolige data,« skriver statsrevisorerne i en bemærkning.

IT-Branchen: National sikkerhedsplan skal komme nu

Den danske brancheorganisation IT-Branchen kræver, at der straks kommer styr på sikkerheden.

»Det er overraskende, at IT-sikkerheden i staten ifølge Rigsrevisionen ikke er bedre til at modstå hackerangreb. Der er behov for øjeblikkelig handling, så vi kan få gennemført en national plan for Danmarks IT-sikkerhed. IT-Branchen efterspurgte allerede i sommer en klar plan, og den er nu mere aktuel end nogen sinde - og nu kan vi ikke vente længere. Der skal turbo på det arbejde, som allerede er i gang,« siger administrerende direktør Morten Bangsgaard.

Han ønsker både en plan for at modstå hackerangreb og en plan B, hvis det alligevel går galt. Det vigtigste er at sikre hurtig og løbende udveksling af viden.

»Løsningen er ikke isoleret bare at stille høje krav til myndigheder, leverandører eller virksomheder. Der er brug for at samarbejde om at give anbefalinger og at dele viden, der kan handles konkret på at virksomhedsledere i offentlige og private virksomheder,« siger IT-branchedirektøren.

Opstramning på vej

Derfor skal der nu strammes op på IT-sikkerheden overalt, og Finansministeriet skal hurtigst muligt afklare, hvem der har det overordnede ansvar for, at IT-sikkerheden er i orden. Samtidig skal enten Digitaliseringsstyrelsen eller Center for Cybersikkerhed under Forsvarsministeriet lave en vejledning til, hvordan man sikrer sig mod hackerangreb.