Staten vil skærpe IT-tilsyn efter hackerskandaler

Hackningen af CPR-registeret og Se og Hør-sagen får nu det offentlige til at øge kravene til sine IT-leverandører. Men man vil ikke hente IT-systemerne tilbage ude fra byen, fastslår Digitaliseringsstyrelsens direktør.

Digitaliseringsstyrelsens direktør, Lars Frelle-Petersen, vil nu stramme op på kravene til statens IT-leverandører. Der vil blandt andet komme mere tilsyn. Arkivfoto: Erik Refner, Scanpix Fold sammen
Læs mere
Foto: Erik Refner
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Skandalesagerne med først hackningen af det danske CPR-register og siden Se & Hør-sagen fører nu til, at den danske stat vil skærpe tilsynet med de leverandører, som står for at behandle de offentlige data. Men det kommer ikke på tale at tage IT-systemerne tilbage i offentlige arme.

Det fastslår Lars Frelle-Petersen, direktør for Digitaliseringsstyrelsen under Finansministeriet, som har ansvaret for den omfattende digitalisering af Danmark, som er sket gennem de seneste år.

Leverandører burde selv have opdaget det

»De sikkerhedshændelser, som vi har set, skal vi lære af, og det vil med vished føre til, at vi strammer op på tilsynet med vore leverandører. Det vil både ske gennem ekstern revision og ved at sikre, at den logning af hændelser, der faktisk foregår, monitoreres på den rigtige måde - også selv om det er en vanskelig opgave, fordi det drejer sig om tusindvis af transaktioner. Men CSC-sagen (hackningen af CPR-registeret, red.), som nu kører ved domstolene, er et eksempel på noget, hvor det overrasker os som kunde, at leverandøren ikke selv har opdaget noget. Det kom kun frem på baggrund af noget, der blev opdaget i Sverige. Så selv om man vælger store, anerkendte leverandører, kan man ikke være sikker på, at leverandørerne har processerne til at opdage det« sagde Lars Frelle-Petersen på en eksperthøring mandag morgen hos brancheorganisationen IT-Branchen i Christian IVs gamle børsbygning midt i København.

Han omtalte også den verserende Se & Hør-sag - eller Nets- eller IBM-sagen, som flere mener, at den retteligt burde hedde -, hvor en IBM-ansat gennem flere år har leveret oplysninger om kendtes brug af kreditkort til ugebladet, som derigennem kunne følge folks færden og indkøb.

Regler er der faktisk

»I Se & Hør-sagen tegner det til, at et enkelt bråddent kar har foretaget disse ting, uden at leverandøren har opdaget det. Det burde have været opdaget og taget hånd om,« fastslog Lars Frelle-Petersen.

Han mener ikke, at det offentlige ikke har stillet nok krav, da tingene blev lagt ud i byen.

»Vi HAR reglerne. Det er efterlevelsen af reglerne, det handler om, og som skal følges op gennem brugerlogning af, hvad der foregår, og sikre, at leverandørerne opper sig mere, end de har gjort. For der er ingen tvivl om, at nogle af de brådne kar, som er kommet frem i søgelyset, burde være blevet fanget af leverandørerne,« sagde Digitaliseringsstyrelsens direktør.

Han forventer derfor, at et endnu tættere samarbejde mellem det offentlige og IT-leverandørerne fremover vil skærpe sikkerheden. Omvendt er det urealistisk at tro, at det offentlige kan tage IT-systemerne tilbage og passe dem selv.

Helt umuligt at tage IT tilbage

»Der er ikke ret megen IT tilbage i den offentlige sektor. Forestillingen om at hjemtage dele af infrastrukturen vil være en radikal ændring af den politik, som vi har ført gennem flere år, og vil være i modstrid mod, hvad vi gerne vil. Vi i det offentlige kan ikke konkurrere med det private erhvervsliv om at drive offentlig IT-infrastruktur. Men vi kan vælge andre leverandører, hvis vi er utilfredse. Men hvis man forestillede sig, at vi skulle tage IT hjem, siger jeg: Tak for kaffe! Jeg kan ikke drive NemID,« sagde Lars Frelle-Petersen.

Han understregede, at det offentlige derimod sal være gode til at investere og til at stille krav til de leverandører, som man vælger.

»Vi må dog samtidig erkende, at man ikke alle steder i det offentlige er gået lige meget op i IT-sikkerheden, men hvor vi har store infrastrukturer - som NemID og Skat - har vi en professionel håndtering. Der er dog eksempler på, hvor der er grund til at stramme op og blive bedre,« sagde direktøren.

Det vilde, mobile vesten

Han understregede dog, at IT-sikkerhed altid er en balance mellem brugervenlighed og at sikre data.

»Vi vil godt kunne gøre sikkerheden bedre. Så er der bare ingen, der vil bruge løsningerne,« sagde han og henviste til en nordsjællandsk kommune, som valgte at bruge NemID, når forældrene skulle logge på skolens intranet.

Forældrene klagede, fordi det var for besværligt, og man valgte at fastholde de »gammeldags« logons i stedet.

»Og vi er netop ved at flytte NemID, så den også kan bruges på mobilt udstyr. Det er en udfordring, for nu komer NemID ud til et utal af platforme, der udvikler sig med lynets hast. Sikkerhedsmæssigt er det stadig »det vilde vesten«, og det skal vi være opmærksomme på,« sagde Lars Frelle-Petersen.

Samarbejde med forsvaret om strammere styring

Digitaliseringsstyrelsen er sammen med forsvaret i gang med at udarbejde nye retningslinier for at styre IT-sikkerheden ved udlicitering. De nye retningslinier ventes klar lige efter sommerferien.

Tilsvarende er man også ved at stramme strategien for cyber- og informationssikkerheden op efter nogen kritik.

»Endelig er der ingen tvivl om, at der bliver behov for at arbejde med vor datastruktur på baggrund af de hackerangreb, som vi har set. Vi skal gøre den måde, som vi distribuerer de offentlige grunddata på (en lang række basisdata, som Folketinget har besluttet at frikøbe, så virksomheder kan få dem og bruge dem til at udvikle nye produkter, red.), kan ske på en sikrere og mere betryggende måde,« sagde Digitaliseringsstyrelsens direktør.

Netop en stramning af IT-sikkerheden indgår i de forhandlinger, som Finansministeriet netop nu fører med kommunerne og regionerne om næste års økonomi.