Forsvarsudvalget 2015-16
FOU Alm.del Bilag 54
Offentligt
1585811_0001.png
Forsvarsudvalget 2013-14
FOU Alm.del endeligt svar på spørgsmål 249
Offentligt
Folketingets Forsvarsudvalg
Sagsnr.
2014 - 16477
Doknr.
146404
Dato
19-06-2014
Folketingets Forsvarsudvalg har den 26. maj 2014 stillet følgende spørgsmål nr. 249
til økonomi- og indenrigsministeren, som hermed besvares. Spørgsmålet er stillet efter
ønske fra Troels Lund Poulsen (V)
Spørgsmål nr. 249:
”I det forsvarsministeren på et
åbent samråd i Forsvarsudvalget den 23. maj 2014 om
cybersikkerhed opfordrede udvalget til at spørge de enkelte ministre om, hvad der
gøres for at beskytte sig imod cybertrusler, bedes ministeren redegøre for, hvad der er
gjort eller vil blive gjort indenfor ministerens ansvarsområde m.h.t. at beskytte it-
systemer og fortrolige data samt m.h.t. at sikre sig imod hackerangreb, jf. statsreviso-
rernes beretning 3/2013 om forebyggelse af hackerangreb, hvor statsrevisorerne bl.a.
udtaler foruroligelse over utilstrækkelig beskyttelse mod cybertrusler i en række un-
dersøgte statslige virksomheder.”
Svar:
Regeringen har igangsat en række initiativer med henblik på at styrke de enkelte mini-
steriers arbejde med at understøtte it-sikkerheden. Finansministerens svar på udval-
gets spørgsmål nr. 250 af 23. maj 2014 indeholder en nærmere redegørelse for gene-
relle initiativer på området, hvortil jeg kan henvise.
Som det fremgår af finansministerens svar, skal alle statslige myndigheder implemen-
tere sikkerhedsstandarden ISO 27001. For Økonomi- og Indenrigsministeriet indebæ-
rer dette bl.a., at ministeriet har udarbejdet risikovurderinger for sine væsentligste it-
systemer, og at der på baggrund af risikovurderingerne er truffet proportionelle sik-
ringsforanstaltninger og procedurer i forhold til det enkelte system.
Beskyttelse mod cybertrusler er navnlig relevant i forhold til CPR-systemet, hvilket
afspejles i de sikringsforanstaltninger og procedurer, der er truffet for dette system.
CPR-systemet er bl.a. genstand for regelmæssig sikkerhedskontrol i form af uvildig it-
revision af, om driftsleverandøren har gennemført de kontroller, der følger af ISO
27001, ligesom systemet udsættes for penetrationstest (hacker-test) med bistand fra
eksterne sikkerhedseksperter.
I forbindelse med et nylig gennemført platformskifte har Økonomi- og Indenrigsmini-
steriet endvidere foranstaltet en ekstraordinær uvildig it-revision af den nye platform.
Der er desuden gennemført en sikkerhedsvurdering af den nye platform i samarbejde
med Center for Cybersikkerhed, og der er gennemført penetrationstest (hacker-test) af
eksterne eksperter.
Med den nye platform er der gennemført en række sikkerhedsmæssige forbedringer.
F.eks. er der indført krav om anvendelse af stærkere passwords, kun whitelistede
FOU, Alm.del - 2015-16 - Bilag 54: Datatilsynets udtalelse af 17/12-15 om hackerangrebet på CSC i forhold til CPR-kontoret, fra social- og indenrigsministeren
1585811_0002.png
(godkendte) IP-adresser kan tilgå systemet, og der kan kun anvendes kommunikati-
onsprotokoller, hvor trafikken krypteres.
CPR-systemets firewall er endvidere blevet suppleret med en såkaldt IDS (Intrusion
Detection System) løsning, der automatisk kan opdage skadelig trafik, hvorved mulig-
heden for at detektere og stoppe eventuelle angreb forbedres. IDS løsningen giver
tillige et bedre logningsgrundlag til anvendelse i et eventuelt efterforskningsarbejde.
Der er herudover iværksat løbende automatiske kontroller, som advarer, hvis relevan-
te sikkerhedsopdateringer ikke er installeret på CPR-systemets servere.
Det kan tilføjes, at Økonomi- og Indenrigsministeriet som opfølgning på det hackeran-
greb, der i 2012 blev gennemført mod Rigspolitiets systemer, med bistand fra Center
for Cybersikkerhed har iværksat en undersøgelse af, hvorvidt angrebet giver anled-
ning til at træffe yderligere sikkerhedsforanstaltninger i forhold til CPR-systemet. De
anbefalinger, som er fremkommet i forbindelse med undersøgelsen, er løbende blevet
implementeret.
Det skal understreges, at de sikkerhedsforanstaltninger, der er truffet for CPR-
systemet, ikke udgør en garanti mod hacking, men de er udtryk for, at Økonomi- og
Indenrigsministeriet tager cybertrusler alvorligt, og at sikkerheden hviler på et godt
fundament, som løbende udbygges i forhold til den aktuelle risikovurdering.
Med venlig hilsen
Margrethe Vestager
2