Elendig it-sikkerhed i staten: Dine oplysninger ligger åbne for hackere

Der er unødig stor risiko for hackerangreb på den danske stat. Det vurderer Rigsrevisionen i en ny rapport, som slår fast, at statens it-sikkerhed er utilstrækkelig

Rigsrevisionen giver hård kritik af statens it-sikkerhed. Her ses Rigsrevisionen med Kontorchef Peder Juhl Madsen, Rigsrevisor Lone Strøm og afdelingschef Lone Glahn. (Polfoto)
Rigsrevisionen giver hård kritik af statens it-sikkerhed. Her ses Rigsrevisionen med Kontorchef Peder Juhl Madsen, Rigsrevisor Lone Strøm og afdelingschef Lone Glahn. (Polfoto)
Følg Samfund

Forsvarets Efterretningstjeneste har vurderet, at storstilede hackerangreb er den største trussel mod det danske samfund.

Alligevel er danskernes fortrolige og personfølsomme oplysninger langt fra sikre i statens hænder. Det konkluderer en ny rapport fra Rigsrevisionen, lavet på revisionens eget initiativ.

Rapporten slår fast, at statens it-sikkerhed er elendig.

- Statsrevisorerne finder det foruroligende, at der i de undersøgte statslige virksomheder har været utilstrækkelig sikring mod hackerangreb og utilstrækkelig beskyttelse af it-systemer og fortrolige digitale data, lyder konklusionen fra statsrevisorerne.

Din computer er hackernes våben

Unødig stor risiko
Rigsrevisionen har undersøgt it-sikkerheden hos fire statslige virksomheder i Finansministeriet og Klima- og Energiministeriet, som er tilsluttet Statens It og har ansvaret for it-systemerne i 80 statslige styrelser og 10 ministerier.

- Rigsrevisionen finder, at de data, som de undersøgte statslige virksomheder var ansvarlige for, på undersøgelsestidspunktet ikke var tilstrækkeligt beskyttet, og at der med det konstaterede sikkerhedsniveau var en unødig stor risiko for hackerangreb og misbrug af it-systemer og fortrolige data, står der indledningsvis i rapporten.

Fra rapporten: Det er Rigsrevisionens vurdering, at undersøgelsens resultater kan være gældende for en større kreds af statslige virksomheder end de netop undersøgte.

Ingen af de undersøgte virksomheder har altså sikret sig tilstrækkeligt, og det kan ifølge rapporten også gælde andre ikke undersøgte virksomheder. Den elendige it-sikkerhed øger også risikoen for en kædereaktion, hvis hackere angriber staten.

- Rigsrevisionen vurderer, at Statens It ikke i tilstrækkelig grad havde undersøgt risikoen for, at et hackerangreb på én virksomhed med utilstrækkelige sikringstiltag kunne sprede sig til andre virksomheder, fx via driftscentrets delte servicer (fælles løsninger), står der i rapporten.

Tre sikkerhedstiltag
Den statslige forvaltning bliver i stigende grad digitaliseret, og det øger behovet for beskyttelse af danskernes data. Internationale undersøgelser peger ifølge rapporten på tre centrale sikringstiltag, der kan mindske risikoen for misbrug af statens it-systemer og fortrolig data.

Sikringstiltagende er følgende:

  • Teknisk begrænsning af download af programmer fra internettet
  • Begrænsning af brugen af lokaladministratorer
  • Systematisk sikkerhedsopdatering af programmer

Fra rapporten: Der var endvidere ikke i virksomhedernes risikovurderinger dokumentation for, at ledelsen havde taget stilling til den risiko, virksomheden udsatte sig for ved ikke at have implementeret de 3 sikringstiltag.

Men undersøgelsen konkluderer altså, at ingen af de undersøgte virksomheder, heriblandt Statens It, Digitaliseringsstyrelsen, Klima-, Energi- og Bygningsministeriets departement og Energistyrelsen, bruger de centrale sikringstiltag i tilstrækkelig grad.

Angreb er uundgåelige
IT-Branchen efterspurgte i sommer en klar plan for en national indsats, der styrker it-sikkerheden i Danmark. Og nu kan vi ikke vente længere, lyder det fra adm. direktør i IT-Branchen, Morten Bangsgaard, der læste rapporten onsdag aften.

- Nu skal der altså styr på sikkerheden. Det er en alvorlig kritik, som vi er nødt til at tage meget alvorlig, siger han til Ekstra Bladet.

Han påpeger, at der er et stort behov for at udvikle en model, som sikrer vidensdeling om it-sikkerhed på tværs af offentlige myndigheder, it-leverandører og private virksomheder. Modellen skal sikre, at viden om sårbarheder, konkrete cyberangreb og håndtering deles mellem berørte sikkerhedsansvarlige.

Fra rapporten: Statsrevisorerne finder det utilfredsstillende at ledelsen i de undersøgte virksomheder i Finansministeriet og Klima-, Energi- og Bygningsministeriet ikke har foretaget tilstrækkelige risikovurderinger.

- Vi skal have udarbejdet en national plan, så vi kan sikre de systemer, som vi ikke beskytter godt nok. Det betyder også, at vi er nødt til at have en back-up plan, så vi ved, hvad vi gør, hvis vi bliver angrebet. Og jeg tror simpelthen ikke, vi kan undgå at blive angrebet. Så sent som i foråret blev Erhvervs- og Vækstministeriet ramt af et voldsomt angreb, og vi så også angreb på KL, siger Morten Bangsgaard.

- Jeg vil understrege, at der allerede bliver gjort meget, og at vi har et rigtigt godt samarbejde med myndighederne. Jeg er helt sikker på, at det også er højt prioriteret. Men denne rapport viser, at vi ikke må undervurdere it-sikkerheden, siger han.

Cyberoffensiv i DK: Statsforvaltning ramt

Mere fra Ekstra Bladet+

Uduelighed er ingen hindring for millionløn

Udforsk Ekstra Bladet+

Hvilke nyheder skal vi vise her?

Med en gratis bruger kan du selv vælge!
Så er du altid opdateret på lige præcis det, der interesserer dig. Læs mere

Udforsk Ekstra Bladet+