PDF to HTML - Convert PDF files to HTML files

Forsvarsudvalget 2013-14
FOU Alm.del
Offentligt

Kulturministeren

Folketingets Forsvarsudvalg

Christiansborg

1240 København K

Kulturministeriet

Nybrogade 2

1203 København K

Tlf

Fax

E-mail

Web

33 92 33 70

33 91 33 88

[email protected]

www.kum.dk

23. juni 2014

Folketingets Forsvarsudvalg har den 26. maj 2014, efter ønske fra Troels Lund Poulsen

(V), stillet mig følgende spørgsmål, nr. 256 (Alm. del), som jeg hermed skal besvare.

Spørgsmål:

I det forsvarsministeren på et åbent samråd i Forsvarsudvalget den 23. maj

2014 om cybersikkerhed opfordrede udvalget til at spørge de enkelte ministre

om, hvad der gøres for at beskytte sig imod cybertrusler, bedes ministeren redegøre

for, hvad der er gjort eller vil blive gjort indenfor ministerens ansvarsområde

m.h.t. at beskytte it-systemer og fortrolige data samt m.h.t. at sikre sig

imod hackerangreb, jf. statsrevisorernes beretning 3/2013 om forebyggelse af

hackerangreb, hvor statsrevisorerne bl.a. udtaler foruroligelse over utilstrækkelig

beskyttelse mod cybertrusler i en række undersøgte statslige virksomheder.

Svar:

Jeg kan oplyse, at der er igangsat en række initiativer med henblik på at styrke

ressortministeriernes arbejde for at understøtte it-sikkerheden.

Generelle initiativer for alle ministerområder

Regeringen har besluttet, at alle statslige myndigheder skal implementere

sikkerhedsstandarden ISO27001, som stiller en række krav til styringen af

sikkerhedsarbejdet, herunder at der arbejdes risikobaseret med sikkerhed, og at

sikkerheden forankres i topledelsen.

Med henblik på en forbedret koordinering af sikkerhedsindsatsen på tværs af den

offentlige sektor har regeringen nedsat en tværministeriel arbejdsgruppe, som skal

udarbejde en strategi for cyber- og informationssikkerhed. Strategien forventes lanceret

i år.

Dok. nr. 2225207

PDF to HTML - Convert PDF files to HTML files

Side 2

Derudover har regeringen truffet beslutning om, at alle statslige myndigheder med

udgangspunkt i en risikovurdering foretager implementering af konkrete

sikkerhedstiltag (eksempelvis positivliste af godkendte programmer, opdatering af

programmer med sikkerhedsopdateringer, begrænsning af brugeradgange med særlige

administrator-privilegier), tiltag, som i henhold til Rigsrevisionens beretning til

statsrevisorerne kan forhindre en væsentlig del af de målrettede cyberangreb.

Endelig arbejder regeringen på en vejledning til statslige myndigheder om styring af

sikkerhed i statens outsourcede drift.

Initiativer for ministerområder, der er kunde hos Statens It

Finansministeriet er kunde hos Statens It. Hermed er dele af de sikkerhedsmæssige

tiltag varetaget gennem den infrastruktur, Statens It tilbyder, samt de ydelser der er

indgået aftale om.

Initiativer hos Statens It, som giver forbedret beskyttelse mod hackerangreb hos

Statens It’s kunder er blandt andre følgende:



Statens It har indført en standardiseret pc-arbejdsplads og et fælles datacenter

med en samlet styring af computere og infrastruktur. Herunder er der indført

strukturerede sikkerhedsopdateringer og mulighed for begrænsning af lokale

administrative rettigheder og download.



Statens It samarbejder med Center for Cybersikkerhed om monitorering af trafik

til og fra Statens It’s datacenter for tidligt at opdage og forhindre mulige

hackerangreb.



Statens It har i 2013 gennemført en reduktion af antallet af brugere med

domæneadministratorrettigheder og foretager løbende opfølgning.



Statens It samarbejder løbende med kunderne om tydeliggørelse af

ansvarsplacering, herunder om sikring mod hackerangreb og beskyttelse af

fortrolige data.



Aftalegrundlaget mellem Statens It og kunderne er opdateret i 2014 med

yderligere præcisering af roller og ansvar i forbindelse med it-sikkerhed og

eventuel skærpelse af krav vedrørende beskyttelse af systemer og data, herunder

øget anvendelse af databehandleraftaler.

Indenfor Kulturministeriets område

Under henvisning til udvalgets forespørgsel vedrørende beskyttelse mod hackerangreb,

kan jeg oplyse, at Kulturministeriet i 2011 har indgået aftale med GovCERT om

overvågning af internettrafikken med henblik på at styrke mulighederne for at opdage

og gribe ind over for angreb.

For de af ministeriets institutioner som serviceres af Statens It, er der medio 2013

indført en regel om at begrænse brugen af lokaladministratorer på de enkelte

pc’er.

PDF to HTML - Convert PDF files to HTML files

Side 3

Dermed begrænses risikoen for download af skadelige programmer, der efterfølgende

kan udnyttes til hackerangreb, væsentligt.

For de øvrige institutioner gælder, at ministeriet ved sit løbende it-tilsyn anbefaler

begrænset brug af lokaladministratorer. Herudover skal ledelsen i de enkelte

institutioner løbende vurdere behovet for bl.a. lokaladministratorer med afsæt i

institutionens samlede risikovurdering.

Videre er ministeriets institutioner ved at indføre sikkerhedsstandarden ISO 27.001,

som styrker den risikobaserede tilgang til brugen af sikkerhedsforanstaltninger -

herunder i forhold til hackerangreb.

Overfor Statens It, som er ministeriets væsentligste leverandør af it-ydelser, vil der

løbende blive fulgt op på implementeringen af Rigsrevisionens anbefalinger. Ligesom

der i forbindelse med ministeriets it-tilsyn på ministerområdet vil blive fulgt op på

Rigsrevisionens anbefalinger i forhold til de enkelte institutioners sikkerhedsarbejde.

Med venlig hilsen

Marianne Jelved