Rigsrevisionen: Hullet IT-sikkerhed i staten

Efterretningstjenesten har ikke fået godkendt sikkerhedssystemerne, politiet bryder reglerne, og alt for mange har adgang til følsomme data, lyder kritikken.

Både IT-sikkerheden og den fysiske sikkerhed på Statens Seruminstitut kritiseres af Rigsrevisionen, som også er efter politiet og Forsvarets Efterretningstjeneste for ikke at beskytte deres IT-systemer og oplysningerne i dem godt nok. Arkivfoto: Brian Bergmann, Scanpix Fold sammen
Læs mere
Foto: Brian Bergmann
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Der er stadig kritiske huller i IT-sikkerheden i det offentlige, så flere end nødvendigt kan få adgang til følsomme data, ligesom der nogle steder ikke er styr på, at computersystemerne er opdateret med de nyeste sikkerhedsrettelser.

Det fremgår af Rigsrevisionens gennemgang af IT-sikkerheden i staten.

»Hovedparten af IT-revisionerne for 2012 viste, at IT-sikkerheden i og omkring systemerne var tilfredsstillende, men at der også var forhold, som virksomhederne burde arbejde videre med for at forbedre IT-sikkerheden. Rigsrevisionen kunne bl.a. konstatere, at nogle virksomheder ikke i tilstrækkeligt omfang sikrede personfølsomme data mod kompromittering. Flere virksomheder havde i 2012 en utilstrækkelig beskyttelse af persondata, hvilket kunne medføre, at uvedkommende fik adgang til disse data,« hedder det i Rigsrevisionens seneste rapport.

Ingen kontrol med DNA-registeret

Rigspolitiet loggede således ikke, når nogen søgte manuelt eller ændrede i DNA-registeret, som bruges til opklaring af forbrydelser. Dermed kunne man ikke spore, hvem der havde rettet eller ændret i registret. Kun sletninger blev registreret. Og på Statens Seruminstitut havde ledelsen gennem flere år ikke forholdt sig til, hvordan Landspatientregisteret blev sikret mod nedbrud, datatab og kompromittering af følsomme persondata. Også den fysiske sikkerhed hos seruminstituttet var ikke i orden.

Der er også anmærkninger i karakterbogen til Statens IT, som er det centrale organ, der skal styre IT-forbruget på tværs. Her fandt Rigsrevisionen »væsentlige svagheder«. Hos Statens IT vidste man nemlig ikke, om al software var ordentligt opdateret, og der manglede procedurer for, hvordan dette blev kontrolleret, og hvordan brugernes data kunne genetableres. Selve IT-sikkerheden var dog blevet forbedret.

8 af 28 efterretningssystemer ikke godkendt

Forsvarskommandoen får kritik for ikke at have vurderet behovet for sikkerhedsgodkendelse af sine IT-systemer, og hos Forsvarets Efterretningstjeneste (FE) manglede otte af 28 »væsentlige produktionssystemer« at blive godkendt forskriftsmæssigt »i forhold til datas tilgængelighed, fortrolighed og integritet«.

Endelig havde Sundhedsministeriet rod i sin styring af digitaliseringen.

»Rigsrevisionen konstaterede, at departementet ikke fulgte systematisk op på de dele af strategien, der vedrørte ministeriets egne kritiske sundhedssystemer og digitaliseringsprojekter,« skriver Rigsrevisionen, der gør opmærksom på, at den agter at følge tæt op på, at der faktisk sker noget på alle fronter.

Læs mere: Rigsrevisionens »Beretning til Statsrevisorerne om revisionen af statsregnskabet for 2012« (i PDF-format)
http://www.rigsrevisionen.dk/media/1943109/rs-2012.pdf