Rigsrevisionen: Stadig huller i sikkerheden hos myndigheder

Der er ikke fulgt godt nok op på kritisk gennemgang af mangelen på beredskab, hvis centrale myndigheder får deres data låst af hackervirus.

Sidste års virusangreb, som bl.a. lagde Mærsk-koncernen ned, da vigtige filer blev låst, har skærpet Rigsrevisionens interesse for, at danske myndigheder kan håndtere lignende angreb - og det kan de endnu ikke, konstateres det. Arkivfoto: Iris/Scanpix
Læs mere
Fold sammen

En række centrale myndigheder er stadig ikke sikret sig godt nok imod, at hackere kan låse deres data og gøre dem ubrugelige, medmindre der betales løsepenge for at få dem igen.

Det viser en opfølgning, som Rigsrevisionen under Folketinget har foretaget af Sundhedsdatastyrelsens, Udenrigsministeriets, Banedanmarks og Beredskabsstyrelsens beredskab mod de såkaldte ransomwareangreb af den type, som sidste år lagde Mærsk-koncernen ned i en mareridtsuge.

Der har ifølge Rigsrevisionen været fokus på 20 almindelige tiltag, som skal nedbringe risikoen for, at virusprogrammerne, som krypterer - eller låser - vigtige filer, overhovedet kommer indenfor.

Mangel på opfølgning og uklarhed

Rigsrevisionen er imidlertid ikke tilfreds med myndighedernes opfølgning på gennemgangen, som blev foretaget i februar 2018.

»Ingen af ministrene redegør for deres håndtering af alle de mangler, som Rigsrevisionen påpegede. Det skyldes, at der er tiltag, som ministrene ikke har redegjort for, og at der er tiltag, hvor det er uklart, om de imødegår de påpegede mangler. Derudover oplyser to ministre, at de ikke planlægger at implementere et af tiltagene, og det er uklart, hvilke kompenserende tiltag institutionerne eventuelt har iværksat, eller om risikoen fremgår af institutionernes risikoanalyse,« konkluderes det i den nyeste rapport.

Folketingets statsrevisorer, som er folketingsmedlemmer udpeget af de enkelte partiet i tinget, konstaterede oven på Rigsrevisionens første gennemgang i februar, at beskyttelsen mod ransomwareangreb »ikke er tilfredsstillende«. Dels var ikke alle computerprogrammet opdateret med de seneste sikkerhedsopdateringer, dels manglede der ordentlige risikovurderinger i Sundhedsdatastyrelsen og Bandedanmark, og endelig havde hverken Udenrigsministeriet, Banedanmark eller Beredskabsstyrelsen sikret sig tilstrækkeligt til, at de hurtigt kunne genskabe deres data, hvis de skulle blive ramt.

Læs mere: Rigsrevisionens »Beretning om beskyttelse mod ransomwareangreb« (i PDF-format)