Forsvarsudvalget 2013-14
FOU Alm.del Bilag 54
Offentligt
1347526_0001.png
1347526_0002.png
1347526_0003.png
1347526_0004.png
1347526_0005.png
1347526_0006.png
Notat til Statsrevisorerne omberetning om forebyggelse afhackerangreb
Februar2014
RIGSREVISORS NOTAT TIL STATSREVISORERNEI HENHOLD TIL RIGSREVISORLOVENS § 18, STK. 4
1
Vedrører:Statsrevisorernes beretning nr. 3/2013 om forebyggelse af hackerangrebKlima-, energi- og bygningsministerens redegørelse af 13. december 2013Finansministerens redegørelse af 20. december 2013(Finansministerens redegørelse er modtaget i Rigsrevisionen den 22. december 2013)
22. januar 2014RN 1402/14
1. Dette notat handler om de initiativer, som klima-, energi- og bygningsministeren og finans-ministeren har iværksat som følge af Statsrevisorernes bemærkninger og beretningens ind-hold og konklusioner.
Sagsforløb for en størreundersøgelseBeretning
KONKLUSIONKlima-, energi- og bygningsministeren og finansministeren har oplyst, at der er tageten række initiativer for at styrke forebyggelsen af hackerangreb i ministerierne. Rigs-revisionen finder initiativerne tilfredsstillende og vurderer, at beretningssagen kan af-sluttes.Rigsrevisionens årsrevision vil dog i forbindelse med it-revisionen af Statens It fort-sat følge de tværgående initiativer, som har betydning for de virksomheder, der ertilsluttet Statens It. Det gælder dels hindring af spredning af hackerangreb blandt detilsluttede virksomheder, dels udarbejdelsen af en forbedret kundeaftale.Rigsrevisionens årsrevision vil ligeledes i forbindelse med de kommende års it-revi-sioner af statslige virksomheder have fokus på deres implementering af sikkerheds-standarden ISO 27001, og om anbefalingerne i den nye vejledning ”Cyberforsvar dervirker” er fulgt.Hvis Rigsrevisionen ikke finder initiativerne tilstrækkelige, vil Rigsrevisionen oriente-re Statsrevisorerne herom i beretning om revisionen af statsregnskabet.Rigsrevisionen baserer konklusionen på følgende:Klima-, energi- og bygningsministeren vil tage initiativ til, at virksomhederne på mi-nisterområdet udbygger deres risikovurderinger med de 3 sikringstiltag, og at deretableres en procedure, som sikrer, at risikovurderingen godkendes af virksomhe-dens ledelse.
Ministerredegørelse
§ 18, stk. 4-notat
Eventueltfortsat(te) notat(er)
Sagen afsluttesDu kan læse mere omforløbet og de enkelte steppå www.rigsrevisionen.dk
2
Finansministeren har igangsat initiativer, der – ud over at sikre håndtering af be-retningens specifikke anbefalinger – også medfører en bredere sikring af Finans-ministeriets virksomheder mod hackerangreb, herunder indførelse af en standar-diseret pc-arbejdsplads, den såkaldte Statens It-Arbejdsplads (SIA).Finansministeriet har endvidere etableret et samarbejde med Center for Cybersik-kerhed om udarbejdelse af vejledninger til sikringstiltag mod hackerangreb.Endelig arbejder Finansministeriet på at tydeliggøre ansvarsplaceringen i en for-bedret kundeaftale mellem Statens It og virksomhederne, og har igangsat separe-ring af netværk for at hindre, at et hackerangreb mod en virksomhed med utilstræk-kelige sikringstiltag spreder sig til andre statslige virksomheder.
I.
Baggrund
2. Rigsrevisionen afgav i oktober 2013 en beretning om forebyggelse af hackerangreb. Be-retningen handlede om, hvorvidt de undersøgte statslige virksomheder i lyset af den stigen-de digitalisering havde håndteret risikoen for hackerangreb og havde implementeret 3 aktu-elle og væsentlige sikringstiltag, og om Statens It havde håndteret risikoen for spredning afhackerangreb mellem virksomheder, der er tilsluttet Statens It.Beretningen viste, at de undersøgte virksomheder ikke systematisk havde forebygget hac-kerangreb ved teknisk at begrænse download af programmer fra internettet og brugen af lo-kaladministratorer, ligesom det kun var 2 ud af 4 virksomheder, der systematisk sørgede forat sikkerhedsopdatere deres programmer. Der var endvidere ikke i virksomhedernes risiko-vurderinger dokumentation for, at ledelsen havde taget stilling til den risiko, virksomhedenudsatte sig for ved ikke at have implementeret de 3 sikringstiltag.Beretningen viste også, at Statens It ikke i tilstrækkelig grad havde undersøgt risikoen for,at et hackerangreb på én virksomhed med utilstrækkelige sikringstiltag kunne sprede sig tilandre virksomheder. Endelig viste beretningen, at opgavesplittet mellem Statens It og virk-somhederne – hvad angår sikring mod hackerangreb – ikke er klart.3. Da Statsrevisorerne behandlede beretningen, bemærkede de, at de fandt det foruroligen-de, at der i de undersøgte statslige virksomheder havde været utilstrækkelig sikring mod hac-kerangreb og utilstrækkelig beskyttelse af it-systemer og fortrolige digitale data. Statsreviso-rerne fandt det endvidere utilfredsstillende, at der på undersøgelsestidspunktet var en unø-dig stor risiko for hackerangreb, som kunne føre til misbrug af it-systemer og fortrolige data.4. Som det fremgår af beretningen, er det Rigsrevisionens vurdering, at undersøgelsens re-sultater kan være gældende for en større kreds af statslige virksomheder end de netop un-dersøgte på Klima-, Energi- og Bygningsministeriets og Finansministeriets områder.Dette notat indeholder alene Rigsrevisionens vurdering af de initiativer, som klima-, energi-og bygningsministeren og finansministeren har iværksat som følge af beretningen. Flere afde initiativer, som Statens It under Finansministeriet iværksætter, vil dog have betydning forde p.t. ca. 80 statslige virksomheder, der er tilsluttet Statens It.Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og påwww.ft.dk/Statsrevisorerne.
3
II.
Gennemgang af ministrenes redegørelser
5. I det følgende gennemgår Rigsrevisionen klima-, energi- og bygningsministerens og finans-ministerens initiativer.Undersøgelse af de 3 sikringstiltag6. Beretningen viste, at ingen af de 4 undersøgte virksomheder systematisk havde implemen-teret de anbefalede 3 sikringstiltag mod hackerangreb. Således havde ingen af virksomhe-derne teknisk begrænset medarbejdernes download af programmer fra internettet eller deresbrug af lokaladministratorrettigheder, mens kun 2 af de 4 virksomheder systematisk sikker-hedsopdaterede deres programmer. Rigsrevisionen anbefalede derfor, at Finansministerieteller Forsvarsministeriet udarbejder vejledning til statslige virksomheder om sikringstiltag modhackerangreb.Desuden havde ingen af de 4 virksomheder i deres risikovurdering begrundet deres praksisvedrørende de 3 sikringstiltag, hvormed der ikke var dokumentation for, at ledelsen havdetaget stilling til den risiko, som den manglende sikring indebar. Rigsrevisionen anbefaledederfor, at statslige virksomheder i deres risikovurdering forholder sig til hackerangreb, her-under de 3 sikringstiltag.7. Statsrevisorerne fandt det utilfredsstillende, at der på undersøgelsestidspunktet var enunødig stor risiko for hackerangreb, som kunne føre til misbrug af it-systemer og fortroligedata i ministerierne, og at ledelsen i de undersøgte virksomheder ikke havde foretaget til-strækkelige risikovurderinger.8. Finansministeren er generelt enig i Rigsrevisionens observationer og i, at tiltag på bag-grund af beretningens anbefalinger styrker sikkerheden i forhold til at forebygge hackeran-greb. Ministeren oplyser, at løbende tilpasning af sikkerhedsindsatsen, herunder indførelseaf konkrete sikringstiltag, er et fokusområde i Finansministeriet – særligt i forbindelse medindførelsen af sikkerhedsstandarden ISO 27001. Den særlige rolle som it-leverandør harderudover ført til beslutning om certificering af Statens It efter ISO 27001-standarden.Finansministeren oplyser endvidere, at ministeriets virksomheder allerede har gennemførtaktiviteter og igangsat initiativer, der – ud over at sikre håndtering af beretningens specifik-ke anbefalinger – også medfører en bredere sikring af koncernen mod hackerangreb. Et afinitiativerne er at indføre en standardiseret pc-arbejdsplads, den såkaldte Statens It-Arbejds-plads (SIA), med automatiseret softwareopdatering og mulighed for begrænsede rettigheder,herunder for download. Desuden har ministeriet taget initiativ til såkaldteawareness aktivi-tetermed introduktion af informationssikkerhed for nye medarbejdere og udsendelse af sik-kerhedsråd til alle medarbejdere. Endelig har ministeriet etableret samarbejde med Centerfor Cybersikkerhed om udarbejdelse af vejledninger til sikringstiltag mod hackerangreb. Vej-ledningen ”Cyberforsvar der virker” udkom primo december 2013.Endelig oplyser finansministeren, at ministeriet vil følge op på de igangsatte initiativer, her-under de aktiviteter, der er relateret til beretningens konkrete anbefalinger.9. Klima-, energi- og bygningsministeren finder, at Rigsrevisionens anbefalinger kan bidragetil at forbedre it-sikkerheden og forebygge hackerangreb. Ministeren vil derfor tage initiativ til,at virksomhederne på ministerområdet udbygger deres risikovurderinger med de 3 sikrings-tiltag, og at der etableres en procedure, som sikrer, at risikovurderingen godkendes af virk-somhedernes ledelser. Desuden vil ministeren sikre sig, at virksomhederne er bekendt medden nye vejledning ”Cyberforsvar der virker”, og at dens principper bliver anvendt.
4
Klima-, energi- og bygningsministeren oplyser endvidere, at flere af ministeriets virksomhe-der har igangsat initiativer, som skal bidrage til at mindske risikoen for hackerangreb, herun-der anvendelsen af den standardiserede pc-arbejdsplads (SIA). Desuden vil ministeriet ud-arbejde en koncernfælles it-strategi og bidrage til erfaringsudveksling ved at oprette et Kon-cern-it-forum og opdatere institutionernes it-sikkerhedsstrategier, så de overholder sikker-hedsstandarden ISO 27001. Endelig vil ministeriet sikkerhedsteste egne hjemmesider og fø-re løbende dialog med Center for Cybersikkerhed.10. Rigsrevisionen finder ministrenes initiativer, herunder udsendelsen af vejledningen ”Cy-berforsvar der virker”, tilfredsstillende. Rigsrevisionens årsrevision vil ved de kommende it-revisioner have fokus på virksomhedernes implementering af sikkerhedsstandarden ISO27001, og om anbefalingerne i den nye vejledning ”Cyberforsvar der virker” er fulgt.Undersøgelse af særlige sikringstiltag i Statens It11. Beretningen viste, at Statens It ikke havde vurderet risikoen for eller testet, om et hacker-angreb på én virksomhed kan kompromittere it-sikkerheden i andre virksomheder, der er til-sluttet Statens It, dvs. sprede sig såvel inden for samme som på tværs af flere ministerom-råder.12. Statsrevisorerne fandt det utilfredsstillende, at Statens It ikke i tilstrækkelig grad havdeundersøgt, om et hackerangreb mod en virksomhed med utilstrækkelige sikringstiltag kunnesprede sig til andre statslige virksomheder.13. Finansministeren oplyser, at man har taget initiativ til separering af netværk gennem fire-walls for at hindre spredning mellem kunder og har indgået aftale med Center for Cybersik-kerhed om monitorering af trafik til og fra datacenteret.14. Rigsrevisionen finder det tilfredsstillende, at Statens It har igangsat initiativer for at hin-dre spredning af hackerangreb. Rigsrevisionens årsrevision vil i forbindelse med kommen-de it-revisioner af Statens It følge op på disse initiativer, herunder om Statens It har udførttest af, om hackerangreb kan sprede sig til andre statslige virksomheder.Ansvaret for virksomhedernes sikring15. Beretningen viste, at man på baggrund af kundeaftalen mellem Statens It og virksomhe-derne ikke entydigt kan afgøre opgavesplittet vedrørende de sikringstiltag, der er behandleti beretningen.Rigsrevisionen vurderede, at ansvaret for databeskyttelse gennem sikring af informationssik-kerheden i sidste ende ligger hos dataejer i det enkelte ministerium, men anbefalede, at Fi-nansministeriet præciserer opgavesplittet hvad angår sikring mod hackerangreb.16. Klima-, energi- og bygningsministeren deler Rigsrevisionens opfattelse af, at opgavesplit-tet ikke er klart og ser frem til, at der sker en præcisering heraf.17. Finansministeren oplyser, at ministeriet har igangsat et initiativ om forbedret aftalegrund-lag mellem Statens It og kunderne med tydeliggørelse af ansvarsplacering, herunder for si-kring af persondata.18. Rigsrevisionen finder det tilfredsstillende, at Statens It har igangsat et initiativ, der kantydeliggøre ansvarsplaceringen mellem Statens It og virksomhederne. Rigsrevisionens års-revision vil i forbindelse med kommende it-revisioner følge op på den nye kundeaftales præ-cisering af opgavesplittet.
5
III.
Afslutning
19. Rigsrevisionen finder klima-, energi- og bygningsministerens og finansministerens initia-tiver tilfredsstillende og vurderer, at beretningssagen kan afsluttes, idet Rigsrevisionen dogi årsrevisionens it-revision bl.a. vil følge de tværgående initiativer, som berører de virksom-heder, der er tilsluttet Statens It. Hvis Rigsrevisionen ikke finder initiativerne tilstrækkelige, vilRigsrevisionen orientere statsrevisorerne herom i beretning om revisionen af statsregnska-bet.
Lone Strøm