Skarp kritik af manglende IT-kontrol i staten

Fire af fem myndigheder, der er blevet undersøgt af Rigsrevisionen, stiller ikke ordentlige krav til, hvem der har adgang til deres data hos de eksterne IT-leverandører.

Mange af de statslige IT-systemer er udliciteret til eksterne leverandører, men det er stadig staten, der har ansvaret for, at IT-sikkerheden er i orden, fastslår Rigsrevisionen og Folketingets statsrevisorer. Arkivfoto: Iris/Scanpix
Læs mere
Fold sammen

Trods flere skandaler de seneste år har staten slet ikke ordentlig styr på, om dens eksterne IT-leverandører rent faktisk har en ordentlig IT-sikkerhed, og det skal der rettes op på straks.

Skat, Styrelsen for Arbejdsmarked og Rekruttering, Digitaliseringsstyrelsen og Søfartsstyrelsen får skarp kritik af Rigsrevisionen og Folketingets statsrevisorer for at tage alt for let på IT-sikkerheden, efter at en undersøgelse fra Rigsrevisionen konkluderer, at kun Rigspolitiet »har foretaget tilstrækkelige risikovurderinger« af at lægge IT-systemer ud til eksterne leverandører. Der er ikke ordentlig styr på, hvem der har adgang til de mange data, der er lagt ud, og til logningen af, hvem der bruger dem.

Statsrevisorer: Utilfredsstillende og bekymrende

»Myndighederne har enten ikke stillet krav om adgangsstyring og logning eller har stillet generelle, upræcise krav eller krav, der kun omfatter dele af IT-infrastrukturen,« lyder kritikken fra Rigsrevisionen.

Den deles af Folketingets statsrevisorer, der er seks medlemmer udpeget af Folketinget og har folketingsmedlem Peder Larsen (SF) som formand.

»Statsrevisorerne finder det utilfredsstillende, at fire ud af fem myndigheder ikke har udarbejdet en tilstrækkelig risikovurdering. Statsrevisorerne finder det bekymrende, at myndighederne - med undtagelse af Rigspolitiet - ikke i tilstrækkelig grad stiller krav til IT-leverandørernes sikkerhedsniveau. Kravene bør være klare og baseret på risikovurderinger, og myndighederne bør følge op herpå,« skriver statsrevisorerne i en skarp bemærkning til Rigsrevisionens rapport.

Og der skal ske noget straks, fastslår statsrevisorerne, der »finder det væsentligt, at Finansministeriet præciserer ansvaret for tilsynet med IT-sikkerheden for de IT-systemer, som drives af Statens IT«, nemlig Søfartsstyrelsen og Styrelsen for Arbejdsmarked og Rekruttering.

Hackerangreb skræmmer

Rigsrevisionen har undersøgt, hvordan de fem myndigheder styrer IT-sikkerheden hos deres eksterne IT-leverandører. Rigspolitiet har Det Centrale Pasregister liggende ude i byen, Skat har Tast-selv Borger og Nyt Tast-selv Erhverv, Styrelsen for Arbejdsmarked og Rekruttering har Det fælles datagrundlag, Digitaliseringsstyrelsen har NemID, og Søfartsstyrelsen har Skibsregisteret.

En stor del af statens IT-drift er udliciteret til eksterne IT-leverandører.

»Der har dog i de seneste år været eksempler på alvorlige IT-sikkerhedshændelser hos statens eksterne IT-leverandører. Fx blev flere af Rigspolitiets systemer i 2012 kompromitteret ved et hackerangreb på IT-leverandørerne CSC. Myndighederne er ansvarlige for at styre IT-sikkerheden, selv om driften af IT-systemerne varetages af eksterne IT-leverandører,« fastslår Rigsrevisionen i sin 43 sider lange rapport.