Finansudvalget 2016-17
FIU Alm.del Bilag 24
Offentligt
1689579_0001.png
5/2016
Rigsrevisionens beretning om
styring af it-sikkerhed
hos it-leverandører
afgivet til Folketinget med Statsrevisorernes bemærkninger
147.281
114.6
22.480
November 2016
1976
237
1849
908
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0002.png
5/
2016
Beretning om styring af it-
sikkerhed hos it-leverandører
Sttsrevsorerne fremsender denne beretnng
med deres bemærknnger t Foketnget og
vedkommende mnster, f. § 3  ov om
sttsrevsorerne og § 18, stk. 1,  ov om
revsonen f sttens regnskber m.m.
Københvn 2017
Denne beretnng t Foketnget sk behndes føge ov om revsonen f sttens regnskber, § 18:
Sttsrevsorerne fremsender med deres eventuee bemærknnger Rgsrevsonens beretnng t Foketnget og
vedkommende mnster.
Fnnsmnsteren, erhvervs- og vækstmnsteren, skttemnsteren, usttsmnsteren og beskæftgesesmnsteren
fgver en redegørese t beretnngen.
Rgsrevsor fgver et nott med bemærknnger t mnstrenes redegøreser.
P bggrund f mnstrenes redegøreser og rgsrevsors nott tger Sttsrevsorerne endeg stng t beretnngen,
hvket forventes t ske  mrts 2017.
Mnstrenes redegøreser, rgsrevsors bemærknnger og Sttsrevsorernes eventuee bemærknnger smes  Stts-
revsorernes Endeg betænknng over sttsregnskbet, som rgt fgves t Foketnget  februr mned –  dette
tfæde Endeg betænknng over sttsregnskbet 2016, som fgves  februr 2018.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0003.png
Henvendese vedrørende
denne pubkton rettes t:
Sttsrevsorerne
Foketnget
Chrstnsborg
1240 Københvn K
Teefon: 33 37 59 87
Fx: 33 37 59 95
E-m: sttsrev[email protected]
Hemmesde: www.ft.dk/sttsrevsorerne
Ydergere eksemprer kn
købes ved henvendese t:
Rosendhs-Schutz Dstrbuton
Herstedvng 10
2620 Abertsund
Teefon: 43 22 73 00
Fx: 43 63 19 69
E-m: dstrbuton@rosendhs.dk
Hemmesde: www.rosendhs.dk
SSN 2245-3008
SBN 978-87-7434-508-4
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0004.png
STATSREVSORERNES BEMÆRKNNG
Statsrevisorernes bemærkning
BERETNING OM STYRING AF IT-SIKKERHED HOS
IT-LEVERANDØRER
Fnnsmnsteret ster krv om, t sttsge myndgheder føger t-skkerhedsstn-
drden SO 27001 t styrng f t-skkerheden, herunder t-skkerheden hos ekster-
ne t-everndører. Myndghederne sk skre en bnceret ndsts, der vægter hen-
synet t brugervenghed, skkerhed og økonom. ndstsen sk være proporton
med de rsc, der er p det konkrete omrde.
Beretnngen hnder om, hvordn 5 myndgheder: Rgspotet (Det Centre Psre-
gster), SKAT (TstSev Borger og Nyt TstSev Erhverv), Styresen for Arbedsmr-
ked og Rekrutterng (Det fæes dtgrundg), Dgtserngsstyresen (NemD) og
Søfrtsstyresen (Skbsregstret) styrer t-skkerheden hos deres eksterne t-drfts-
everndører.
Sttsrevsorerne bemærker, t sttsge myndgheder generet kn outsource t-
drften t eksterne t-everndører, men kke nsvret for t-skkerheden.
Sttsrevsorerne fnder det utfredsstende, t 4 ud f de 5 myndgheder kke hr
udrbedet en tstrækkeg rskovurderng.
Sttsrevsorerne fnder det bekymrende, t myndghederne – med undtgese f
Rgspotet – kke  tstrækkeg grd ster krv t t-everndørernes skker-
hedsnveu. Krvene bør være kre og bseret p rskovurdernger, og myndghe-
derne bør føge op herp.
Sttsrevsorerne fnder det væsentgt, t Fnnsmnsteret præcserer nsvret
for tsynet med t-skkerheden for de t-systemer, som drves f Sttens t.
STATSREVISORERNE,
den 9. november 2016
Peder Lrsen
Henrk Thorup
Kus Frndsen
Lennrt Dmsbo-Andersen
Søren Gde
Smon Em Ammtzbø
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0005.png
INDHOLDSFORTEGNELSE
1. Introduktion og konklusion
1.1. Form og konkuson
1.2. Bggrund
1.3. Revsonskrterer, metode og fgrænsnng
1
1
3
9
2. Myndighedernes styring af it-sikkerheden
2.1. Myndghedernes rskovurdernger
2.2. Myndghedernes krv om revsorerkærnger og kontro f t-skkerhed
2.3. Myndghedernes krv om og opføgnng p dgngsstyrng
2.4. Myndghedernes krv om og opføgnng p ognng
Bg 1. Metodsk tgng
Bg 2. Fnnsmnsterets tsyn med Sttens t og kundernes forpgteser
Bg 3. Ordste
11
11
13
16
19
26
31
36
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0006.png
Rgsrevsonen hr sev tget nttv t denne undersøgese og fgver derfor beretnngen t Stts-
revsorerne  henhod t § 17, stk. 2,  rgsrevsoroven, f. ovbekendtgørese nr. 101 f 19. nur 2012.
Beretnngen vedrører fnnsovens § 7. Fnnsmnsteret, § 8. Erhvervs- og Vækstmnsteret,
§ 9. Skttemnsteret, § 11. usttsmnsteret og § 17. Beskæftgesesmnsteret.
 undersøgesesperoden hr der været føgende mnstre:
Fnnsmnsteret:
Cus Hort Frederksen: un 2015 -
Erhvervs- og Vækstmnsteret:
Troes Lund Pousen: un 2015 -
Skttemnsteret:
Krsten Lurtzen: un 2015 -
usttsmnsteret:
Søren Pnd: un 2015 -
Beskæftgesesmnsteret:
ørn Neergrd Lrsen: un 2015 -
Beretnngen hr  udkst været foregt Fnnsmnsteret, Erhvervs- og Vækstmnsteret, Skttem-
nsteret, usttsmnsteret og Beskæftgesesmnsteret, hvs bemærknnger er fspeet  beretnn-
gen.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0007.png
NTRODUKTON OG KONKLUSON
1
1. Introduktion og
konklusion
1.1.
FORMÅL OG KONKLUSION
1. Denne beretnng hnder om en række sttsge myndgheders styrng f t-skkerheden
hos deres eksterne t-drftseverndører. Beretnngen hr et fremdrettet perspektv og g-
ver nbefnger t t forbedre myndghedernes styrng f t-skkerheden hos everndører-
ne. Rgsrevsonen hr sev tget nttv t beretnngen, der bygger p t-revsoner, som
Rgsrevsonen hr udført  1. hvr 2016.
2. Beretnngen hnder om føgende 5 myndgheder og 6 t-systemer: Rgspotet (Det Cen-
tre Psregster – herefter Psregstret), SKAT (TstSev Borger og Nyt TstSev Erhverv),
Styresen for Arbedsmrked og Rekrutterng – herefter STAR (Det fæes dtgrundg –
herefter DFDG), Dgtserngsstyresen (NemD) og Søfrtsstyresen (Skbsregstret).
3. En stor de f sttens t-drft er outsourcet t eksterne t-everndører. Outsourcng kn
gve stten en række fordee  forhod t økonom, kvtet og orgnserng. Der hr dog  de
seneste r været eksemper p vorge t-skkerhedshændeser hos sttens eksterne t-
everndører. Fx bev fere f Rgspotets systemer  2012 kompromtteret ved et hcker-
ngreb p t-everndøren CSC.
4. Myndghederne er nsvrge for t styre t-skkerheden, sev om drften f t-systemer-
ne vretges f eksterne t-everndører. Det er derfor vgtgt, t myndghederne foretger
rskovurdernger og p bggrund herf ster reevnte krv t og føger op p t-skkerhe-
den  de outsourcede t-systemer. Rskovurderngerne er grundget for en tstrækkeg og
vebegrundet styrng f t-skkerheden. Uden en ktv, rskobseret styrng ved myndghe-
derne kke, om t-skkerheden  de outsourcede systemer svrer t myndghedernes behov
for skkerhed.
t-systemer bestr f forskege teknske g/dee, der tsmmen udgør t-systemernes t-
nfrstruktur. Det beskrves nærmere  pkt. 10. Der er som udgngspunkt potentet rsc 
e dsse g. Det er derfor vgtgt, t myndghedernes rskovurdernger tger høde for r-
sc  e gene  t-nfrstrukturen – ofte med nput fr everndørerne. Herved kn myn-
dghederne vurdere, om der er behov for t ste krv t og føge op p t-skkerheden  e
gene.
Rgspotet hører under u-
sttsmnsteret.
SKAT hører under Skttem-
nsteret.
Styresen for Arbedsmrked
og Rekrutterng hører under
Beskæftgesesmnsteret.
Dgtserngsstyresen hø-
rer under Fnnsmnsteret.
Søfrtsstyresen hører under
Erhvervs- og Vækstmnste-
ret.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0008.png
2
NTRODUKTON OG KONKLUSON
5. Formet med beretnngen er t vurdere, hvordn myndghederne hr
styret
t-skkerhe-
den hos de eksterne everndører p udvgte omrder, med henbk p t gve nbefn-
ger t, hvordn myndghederne fremdrettet kn forbedre deres styrng f t-skkerheden
hos t-everndører. Konkret hr v undersøgt, om myndghederne hr udrbedet rskovur-
dernger som grundg for deres styrng. Med fsæt  dsse resutter hr v som en ”tem-
perturmng” undersøgt, om myndghederne hr stet krv om revsorerkærnger og mu-
ghed for t foretge kontro f t-skkerheden hos everndørerne, smt om myndgheder-
ne hr stet krv t og fugt op p everndørernes dgngsstyrng og ognng.
Det sk understreges, t beretnngen hnder om myndghedernes styrng f t-skkerhed
og kke om, hvordn t-skkerheden er  prkss hos t-everndørerne  de undersøgte syste-
mer.
KONKLUSION
Nr drften f myndghedernes t-systemer vretges f eksterne everndører, hr myn-
dghederne kke ængere drekte kontro over t-skkerheden, men er fortst nsvrge for
t styre t-skkerheden. Hvs myndghederne kke foretger en ktv, rskobseret styrng
f t-skkerheden, herunder ster krv t og føger op p t-skkerheden, hr de kke vshed
om, hvorvdt everndørernes t-skkerhed er tstrækkeg  forhod t t skre myndghed-
ernes systemer og dt.
Rgsrevsonen vurderer, t hovedprten f de undersøgte myndgheder sk forbedre de-
res rskovurdernger, som bør dnne grundg for myndghedernes styrng f t-skkerhe-
den hos t-everndørerne. Rgsrevsonen vurderer desuden, t hovedprten f de under-
søgte myndgheder kn forbedre deres krv t og opføgnng p dgngsstyrng og ognng.
For det første fnder Rgsrevsonen det kke tfredsstende, t ngen f myndghederne
– p nær Rgspotet – hr foretget tstrækkege rskovurdernger for de undersøgte t-
systemer. Rskovurderngerne er meget overordnede og omftter kke e dee f syste-
mernes t-nfrstruktur. Endvdere begrunder myndghederne  deres rskovurdernger kke
deres frvg  forhod t dgngsstyrng og ognng  t-nfrstrukturen og hr derfor kke
dokumenteret deres overveeser om, t det kke er nødvendgt t ste krv t og føge op
p dgngsstyrng og ognng  e dee f t-nfrstrukturen. Nr myndghederne kke b-
serer deres styrng f t-skkerheden p tstrækkege rskovurdernger, er der rsko for,
t deres styrng kke tger udgngspunkt  myndghedernes dokumenterede behov for sk-
rng f tgængeghed, fortroghed og ntegrtet  deres systemer og dt.
For det ndet fnder Rgsrevsonen, t hovedprten f de undersøgte myndgheder frem-
drettet kn forbedre deres krv t everndørerne om dgngsstyrng og ognng. Myndg-
hederne hr enten kke stet krv om dgngsstyrng og ognng eer hr stet genere-
e, upræcse krv eer krv, der kun omftter dee f t-nfrstrukturen.
Mngende krv eer generee, upræcse krv, der gver rum for fortoknng  forhod t eve-
rndørens forpgteser, ndebærer en rsko for, t everndøren kke hr det tstrække-
ge og/eer forventede skkerhedsnveu.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0009.png
NTRODUKTON OG KONKLUSON
3
For det trede fnder Rgsrevsonen, t hovedprten f myndghederne fremdrettet kn
forbedre deres opføgnng p everndørernes dgngsstyrng og ognng, d de enten kke
hr fugt op p dette eer kun hr fugt op herp  dee f t-nfrstrukturen.  den forbnde-
se vser revsonen, t noge f myndghederne kn bve mere bevdste om, hvd deres rev-
sorerkærnger dækker.
For Søfrtsstyresen og STAR, som er kunder hos Sttens t, vser revsonen, t der er ukr-
hed om nsvrs- og opgvefordengen  forhod t tsynet med Sttens t meem Fnns-
mnsteret og de 2 styreser. STAR og Erhvervs- og Vækstmnsteret, herunder Søfrtssty-
resen, hr opyst, t de 2 styreser kke hr været opmærksomme p deres forpgteser 
forhod t krv t og opføgnng p t-skkerhed  de undersøgte t-systemer, d de hr en
nden opfttese f nsvrs- og opgvefordengen og fnder, t det er dækket f Fnns-
mnsterets tsyn.
Fnnsmnsteret hr opyst, t mnsteret v tge nttv t t præcsere omfnget f
st tsyn med Sttens t.
P bggrund f beretnngen nbefer Rgsrevsonen:
at myndighederne på baggrund af egne risikovurderinger stiller klare krav til leverandø-
rernes sikkerhedsniveau i kontrakten eller i tillæg, allonger eller bilag hertil og tydeliggør,
hvilke dele af it-infrastrukturen kravene gælder
at myndighederne følger op på leverandørernes it-sikkerhed og efterlevelse af krav i alle
dele af it-infrastrukturen, medmindre myndighederne i deres risikovurderinger har doku-
menteret, at det ikke er nødvendigt.
Myndghederne hr fr nur
2014 skuet føge SO 27001
og hve færdgmpementeret
den prmo 2016.
føge
Nton strteg for cy-
ber- og nformtonsskkerhed
fr 2014 sk de sttsge myn-
dgheder bve bedre t t føge
op p skkerhedsnveuet hos
eksterne everndører. Myndg-
hederne sk sedes føge str-
tegen foretge rskovurdern-
ger f t-skkerheden smt st-
e reevnte krv t og øbende
føge op p t-skkerheden hos
everndørerne. Dette gæder
ogs, hvor everndøren er en
nden offentg myndghed, fx
Sttens t.
1.2.
BAGGRUND
6. Beretnngen sætter fokus p den rsko, der er, hvs myndghederne kke hr en ktv, r-
skobseret styrng f t-skkerheden hos de eksterne t-everndører, herunder t de kke
ster kre krv t og føger op p t-skkerheden.
Styring af it-sikkerhed
7. Fnnsmnsteret ster krv om, t sttsge myndgheder føger t-skkerhedsstndr-
den SO 27001 t styrng f t-skkerheden, herunder ogs t-skkerheden hos eksterne t-
everndører. Desuden fremgr det f
Nton strteg for cyber- og nformtonsskkerhed,
t myndghederne sk rbede rskobseret med skkerhed og øbende foretge rskovur-
dernger. Myndghederne sk prortere ndstsen efter behov og skre en bnceret nd-
sts, der vægter hensynet t brugervenghed, skkerhed og økonom. ndstsen sk være
proporton med truserne p det konkrete omrde. Myndghederne sk fstægge skker-
hedsttgene p bggrund f en konkret vurderng f, hvket skkerhedsnveu der er nød-
vendgt.
8. P bggrund f rskovurderngen besutter myndghederne, hvordn de sk hndtere de
dentfcerede rsc. Myndgheden sk føge
Gude t mpementerng f SO 27001
beskr-
ve de skkerhedsfornsttnnger, edesen hr besuttet t gennemføre,  et skdt SoA-
dokument. Beskrvesen sk begrunde eventuee frvg f kontroer. SoA-dokumentet
bruges t t verfcere, t myndgheden kke hr unddt vgtge kontroer.
SOA-DOKUMENT
SoA-dokument (Sttement of
Appcbty) er et centrt do-
kument  skkerhedsrbedet ef-
ter SO 27001.
SoA-dokumentet sk omhnd-
e edesens prorterng f sk-
kerheden, herunder besutnn-
ger om vg og frvg f skker-
hedsfornsttnnger,  forhod
t forretnngens m og rsko-
prof.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0010.png
4
NTRODUKTON OG KONKLUSON
9. Myndghedernes rskovurdernger bør føge Dgtserngsstyresens og Center for Cy-
berskkerheds
Anbefnger t styrkese f skkerheden  sttens outsourcede t-drft
fr
2014 tge udgngspunkt  et opdteret trussesbede. Myndghederne bør desuden vurde-
re rsc ud fr krkteren og værden f dt og systemer, som myndghederne er nsvr-
ge for, herunder hvor krtske de er.
Sikkerhedsrisici i it-infrastrukturen
10. t-systemer bestr f forskege teknske g/dee, der tsmmen udgør t-systemernes
t-nfrstruktur. Fgur 1 vser en forenket ustrton f t-nfrstrukturen, som den ofte er
smmenst hos en everndør, hvor kunderne deer servces. De undersøgte t-systemer de-
er  vrerende omfng servces med ndre kunder – som mnmum g 8 (fyssk okton).
FIGUR 1
T-NFRASTRUKTUREN  T-SYSTEMER
Kunde A
1. Brugergrænseflade
2. Applikation
3. Database
4. Operativsystem
Kunde B
1. Brugergrænseflade
2. Applikation
3. Database
4. Operativsystem
5. Eventuelt hypervisor
6. Fysisk server (fx iLO™ og DRAC™)
7. Netværk
8. Fysisk lokation
Kde: Rgsrevsonen.
Det fremgr f fgur 1, t t-nfrstrukturens g 1-4 (brugergrænsefde, ppkton, d-
tbse og opertvsystem) typsk v være dskt meem de forskege kunder  evern-
dørens t-mø. Lg 5-8 (hypervsor, fyssk server, netværk og fyssk okton) v dermod
oftest være fæes servces og fcteter, som fere kunder dees om hos everndøren.
11. Der er som udgngspunkt potentet rsc og srbrheder  hvert f gene  t-nfrstruk-
turen for et t-system. Lgene  t-nfrstrukturen hænger ndbyrdes smmen.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0011.png
NTRODUKTON OG KONKLUSON
5
Derfor v rsc og srbrheder  ét g som udgngspunkt kunne f konsekvenser for sk-
kerheden  hee systemet. En person, der hr dgng t ét eer fere g, kn ved t udnytte
teknske srbrheder skffe sg dgng t ndre g. Fx kn en hcker, som udnytter en
srbrhed  t-nfrstrukturen t t kompromttere skkerheden  ét g, hve mughed for
dergennem t skffe sg dgng t ndre g (ustreret med pen t høre hos kunde B 
fgur 1).
Afhænggt f den teknske opbygnng kn der ogs være rsko for, t en hcker, som ud-
nytter en srbrhed  t-nfrstrukturen hos kunde A, d den ve kn skffe sg dgng t
t-nfrstrukturen hos kunde B og derved kn kompromttere skkerheden  kunde B’s t-sy-
stem, hvs de hr smme everndør (ustreret med pen t venstre  fgur 1).
Det er derfor vgtgt, t myndghederne skrer sg, t everndørerne hr truffet de fornød-
ne skkerhedsfornsttnnger  systemets t-nfrstruktur, s dette kke er mugt. Det be-
tyder, t myndghederne bør ste krv t og føge op p everndørernes skkerhed og ef-
terevese f krv  hvert f de enkete g  t-nfrstrukturen, medmndre myndghederne
 deres rskovurdernger hr dokumenteret, t det kke er nødvendgt.
For kunder, der kke deer servces, ndehoder t-nfrstrukturen typsk de smme 8 g som
 fgur 1. Her er det dog  forhod t rsc bot pen t høre, der er reevnt.
12. Leverndørerne hr typsk mpementeret en række forskege skkerhedsfornsttnn-
ger. Dsse fornsttnnger begrænser rskoen  de enkete g  t-nfrstrukturen og bety-
der, t der kke er ”fr dgng” for fx en hcker gennem hee t-nfrstrukturen fr det ene
g t det ndet. o fere skkerhedsfornsttnnger, desto vnskegere er det t trænge
nd  t-nfrstrukturen og komme gennem de forskege g. Desuden kn myndgheder og
everndører hve forskege kompenserende fornsttnnger, der reducerer konsekven-
serne, hvs t-systemer og dt bver kompromtteret. Dsse bør ndg  myndghedernes r-
skovurdernger, for t myndghederne kn hve vshed om, t everndørens hndterng f
rsc og skkerhedsnveuet er tstrækkeg.
13. De udvgte myndgheder og t-systemer, som beretnngen hnder om, dækker tsm-
men en bred vfte f forskege myndgheder og t-systemer med forskege typer f dt.
De udvgte t-systemer understøtter forskege væsentge opgver og servces p 5 for-
skege mnsteromrder. Systemerne repræsenterer bde ædre og nyere systemer og
kontrkter. Noge f systemerne er rettet mod borgere og vrksomheder og forbnder bor-
gere og vrksomheder t dgte servces. Andre systemer er fgrænsede fgsystemer,
som nvendes f medrbedere. Hø t-skkerhed er vgtg for e de udvgte systemer 
form f tgængeghed, fortroghed og/eer ntegrtet f dt og systemer.
De udvalgte myndigheder og it-systemer
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0012.png
6
NTRODUKTON OG KONKLUSON
14. Tbe 1 vser de udvgte t-systemer, de nsvrge myndgheder og de t-everndører,
som vretger drften f systemerne.
TABEL 1
DE UDVALGTE T-SYSTEMER
System
Det Centre Psregster
(Psregstret)
Myndghed
Rgspotet
t-drftseverndør
CSC
ndgese f
drftskontrkt
2014
Beskrvese f systemet
ndehoder psopysnnger, som
b.. benyttes f potet, kommu-
ner, Udenrgsmnsteret og Ud-
ændngestyresen.
Er et t-system, hvor vrksomheder
ndberetter deres sktteopysnn-
ger.
Er et t-system, hvor borgerne nd-
beretter deres sktteopysnnger.
Er STAR’s teknske ndgng t fæ-
es t p beskæftgesesomrdet.
t-systemet understøtter sgsbe-
hndernes rbede  kommuner og
obcentre smt borgervendt sev-
betenng p obnet.
Er et fæes og-n t bde offent-
ge og prvte sevbetenngsøs-
nnger og t den enkete borgers
netbnk.
Er et regster, hvor skbe kn reg-
streres.
Nyt TstSev Erhverv
SKAT
CSC
2014
TstSev Borger
Det fæes dt-
grundg (DFDG)
SKAT
Styresen for
Arbedsmrked
og Rekrutterng
(STAR)
CSC
KMD
1992
2012
(2015)
NemD
Dgtserngs-
styresen
Nets
2008
Skbsregstret
Søfrtsstyresen
Sttens t
2009
Kde: Rgsrevsonen p bggrund f opysnnger fr de undersøgte myndgheder.
15. Myndghederne hr forskege rmmebetngeser for styrngen f t-skkerheden hos
t-everndørerne  de udvgte systemer.
Skbsregstrets dt er  modsætnng t de øvrge systemers dt offentgt tgængege.
Erhvervs- og Vækstmnsteret hr p den bggrund opyst, t der efter mnsterets opft-
tese kke er behov for smme skkerhedsnveu som for de ndre undersøgte systemer.
Rgsrevsonen konstterer, t det fremgr f Søfrtsstyresens rskovurderng, t Skbs-
regstret understøtter styresens krtske forretnngsprocesser, og t ntegrtet og tgæn-
geghed  forhod t Skbsregstret hr stor betydnng.
SKATs TstSev Borger er en de f et systemkompeks, der understøtter borgernes skt-
teberegnng og rsopgørese. Systemkompekset bestr grundæggende f 2 dee: Mn-
frme-deen, der udfører beregnngen f borgerens skt mv., og TstSev Borger, der er det
system, borgeren benytter t ndtstnng og godkendese f forskuds- og rsopgøreses-
opysnnger. Revsonen hr omfttet TstSev Borger-deen.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0013.png
NTRODUKTON OG KONKLUSON
7
16. Drften f e de udvgte t-systemer vretges f eksterne t-everndører. Dog er
NemD og TstSev Borger kke outsourcet p smme mde som de ndre undersøgte t-sy-
stemer. t-systemet bg NemD ees f Nets. Dgtserngsstyresen køber servces, som
Nets udbyder. SKAT hr kun brugsret t systemet TstSev Borger. Det er CSC, som eer sy-
stemet. TstSev Borger hører under en rmmekontrkt med CSC fr 1992 smmen med n-
dre f SKATs systemer. Med de vgte øsnnger er Dgtserngsstyresen og SKAT dog –
gesom de ndre myndgheder – nsvrge for t foretge rskovurderng smt ste krv
t og føge op p t-skkerheden hos everndøren.
17. Bde STAR og Søfrtsstyresen er kunder hos Sttens t, men p 2 forskege mder.
Drften f STAR’s system DFDG vretges f en ekstern t-drftseverndør (KMD). STAR er
omfttet f Sttens t’s rmmefte med eksterne everndører.
Erhvervs- og Vækstmnsteret, herunder Søfrtsstyresen, er tsuttet Sttens t, som v-
retger drften f styresens t-systemer, herunder Skbsregstret. Styresen kn derfor kke
frt væge drftseverndør, men sk benytte Sttens t som t-drftseverndør.
Sttens t vretger t-drften f Skbsregstret, herunder fvkng f softwre og drft f
fyssk udstyr  g 1-8  systemets t-nfrstruktur. Søfrtsstyresen hr en vedgehodeses-
og udvkngsfte med en softwreeverndør. Softwreeverndøren vretger skdt
ppcton mngement (dvs. b.. fesøgnng, ferettese og vdereudvkng  g 1, 2 og
dee f g 3  Skbsregstrets t-nfrstruktur). Revsonen omhnder ene Søfrtsstyre-
sens t-drftskontrkt med Sttens t. V hr sedes kun undersøgt Søfrtsstyresens krv
og opføgnng  forhod t t-drftseverndøren Sttens t.
At STAR og Søfrtsstyresen er tsuttet Sttens t hr betydnng for den mde, hvorp de
sk styre t-skkerheden hos t-drftseverndørerne (henhodsvs Sttens t og KMD).
18. Aften med t-drftseverndøren ster krv om revsorerkærng, som omftter eve-
rndørens kundefæes ydeser. Sttens t fører tsyn (udt) med t-drftseverndøren p
vegne f kunderne, herunder STAR. Tsynet tger udgngspunkt  de kundefæes ydeser,
som revsorerkærngen omftter (g 5-8  t-nfrstrukturen).
Det er Rgsrevsonens opfttese, t STAR hr nsvret for t foretge rskovurdernger,
der tger høde for rsc  e 8 g  deres fgsystem DFDG, og v Sttens t ste krv t
den eksterne t-drftseverndør, hvs der p bggrund f rskovurderngen er behov for det.
Desuden sk STAR forhode sg t revsorerkærngen og det tsyn, som Sttens t udfører
p vegne f STAR. STAR sk suppere dette med øvrg opføgnng hos t-drftseverndøren,
s STAR smet set føger op  e dee f t-nfrstrukturen for DFDG.
Sttens t hr opyst, t det er Sttens t, der er urdsk kontrktprt over for KMD og der-
for hr nsvret for, t kontrktens krv t t-skkerhed opfydes. Sttens t hr endvdere
opyst, t STAR hr hft mughed for t ste ydergere krv  forbndese med krvspec-
fktonen t t-drftseverndøren, d STAR hr sddet med  styregruppen for udbuddet.
Styring af it-sikkerheden hos Statens It’s it-driftsleverandør (KMD) for STAR
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0014.png
8
NTRODUKTON OG KONKLUSON
Sttens t hr opyst, t Sttens t hr nsvret for drftsften med den eksterne eve-
rndør, men t STAR som systemeer hr godkendt den krvspecfkton, der gger t grund
for kontrkten med everndøren. STAR hr desuden hft mughed for øbende t ste sup-
perende t-skkerhedsmæssge krv t everndøren v Sttens t.
FINANSMINISTERIETS
TILSYN
Styring af it-sikkerhed hos Søfartsstyrelsens it-driftsleverandør (Statens It)
føge Fnnsmnsteret omft-
ter tsynet som udgngspunkt
kke kundernes fgspecfkke
systemer. Dog bemærkes det,
t Fnnsmnsterets tsyn med
Sttens t dækker generee t-
kontroer og efterevese f SO-
stndrden, hvket udgør et
væsentgt grundg for drften
f kundernes fgspecfkke sy-
stemer, f. stndrdkundeft-
en og thørende bg.
19. Fnnsmnsteret fører tsyn med Sttens t’s t-skkerhed p vegne f de kunder, hvor
Sttens t vretger drften f deres t-systemer (herunder Søfrtsstyresen). Fnnsmn-
steret øfter dermed tsynsopgven for t undg, t e mnsterer bruger resurser p t
føre tsyn med Sttens t.
Det er Rgsrevsonens opfttese, t nsvret for t foretge rskovurderng f fgsyste-
mer gger hos de enkete kunder, herunder Søfrtsstyresen. Fnnsmnsteret er eng med
Rgsrevsonen her.
Desuden er de enkete kunder nsvrge for t ste krv t Sttens t, hvs der p bggrund
f deres rskovurderng er behov for det. Endeg er kunderne forpgtede t ktvt t for-
hode sg t det tsyn, Fnnsmnsteret fører p vegne f kunderne, fx ved t spørge nd
t det eer ste krv t emner, der sk være særgt fokus p. Dette bør ske med udgngs-
punkt  myndghedernes rskovurderng, s tsynet fspeer myndghedernes specfkke
behov for t-skkerhed.
Fnnsmnsteret er eng med Rgsrevsonen og v derfor tge nttv t t præcsere om-
fnget f st tsyn med Sttens t.
Det er Rgsrevsonens opfttese, t Søfrtsstyresen sedes sk foretge en rskovur-
derng, der tger høde for rsc  e 8 g  t-nfrstrukturen  Skbsregstret og p den
bggrund vurdere, om der er behov for t ste krv t og føge op p t-skkerheden  e
8 g  t-nfrstrukturen.
STAR og Erhvervs- og Vækstmnsteret, herunder Søfrtsstyresen, hr opyst, t de hr
en nden opfttese f nsvrs- og opgvefordengen  forhod t tsynet med Sttens t
meem Fnnsmnsteret og de 2 styreser, herunder omfnget f deres forpgteser og
Fnnsmnsterets tsyn.
Bg 2 beskrver, hvordn Fnnsmnsteret betrgter mnsterets tsyn med Sttens t
og kundernes forpgteser. Desuden beskrver bget STAR’s og Erhvervs- og Vækstmn-
sterets, herunder Søfrtsstyresens, opfttese f nsvrs- og opgvefordengen meem
dem og Fnnsmnsteret.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0015.png
NTRODUKTON OG KONKLUSON
9
1.3.
REVISIONSKRITERIER, METODE OG AFGRÆNSNING
Revisionskriterier
20. V hr t brug for t-revsonen opstet revsonskrterer. Beretnngen omhnder 16 re-
vsonskrterer, som er en de f en større t-revson. De udvgte krterer dækker 4 em-
ner: rskovurderng, revsorerkærnger og kontro f skkerhed, dgngsstyrng smt og-
nng. V hr udvgt dsse emner og krterer, d v nser dem for t være væsentge for
styrng f t-skkerhed.
De valgte emner og kriterier
21. V hr undersøgt myndghedernes rskovurdernger, som er grundget for en tstræk-
keg og vebegrundet styrng f t-skkerheden. P bggrund f rskovurderngerne sk
myndghederne besutte, hvordn de kn hndtere de dentfcerede rsc, og hvke forn-
sttnnger de v mpementere, herunder hvke skkerhedsmæssge spekter det er ree-
vnt t ste krv om og føge op p.
 forængese herf hr v undersøgt myndghedernes krv t revsorerkærnger, herunder
hvd erkærngerne dækker, og myndghedernes krv om mughed for t foretge kontro/
nspekton hos everndørerne. Revsorerkærngerne sper en vgtg roe  myndgheder-
nes styrng f t-skkerheden, d de gver myndghederne nformton om, hvorvdt t-skker-
heden er  orden p de omrder, erkærngerne omftter. Myndghedernes kontro/nspek-
ton (fx v tredeprt) sper ogs en vgtg roe, d den kn gve myndghederne nform-
ton om forhod, der kke er omfttet f revsorerkærngerne.
Adgngsstyrng og ognng er 2 vgtge spekter f t-skkerhed, som begge ndgr som kon-
troer  SO 27001. V hr derfor – med fsæt  resutterne om rskovurdernger og som
en ”temperturmng” p myndghedernes krv og opføgnng – undersøgt, om myndghe-
derne hr stet krv t og fugt op p everndørernes dgngsstyrng og ognng.
22. De emner og krterer, beretnngen omhnder, omftter bot en de f den smede t-
skkerhed. De udgør derfor kke en udtømmende ste for, hvordn myndghederne sk sty-
re t-skkerheden hos everndørerne, herunder hvke krv myndghederne bør ste. Opfy-
dese f krtererne er derfor kke ensbetydende med en tstrækkeg styrng f t-skker-
heden. Det fremgr f bg 1, hvd krtererne er bseret p.
23. Som det fremgr f tbe 1, er fere f kontrkterne for de undersøgte systemer ndg-
et, før den ntone strteg fr 2014 og veednnger mv. udkom. P bggrund f grund-
prncpperne  SO 27001 fnder Rgsrevsonen det vgtgt, t myndghederne foretger r-
skovurdernger øbende, og t myndghederne p bggrund herf ster nye reevnte krv
t skkerhedsttg, sev om kontrkterne er ndget p et tdgere tdspunkt. Dette kn
fx ske  form f onger, tægsfter og/eer bg.
Metode
24. Beretnngen bygger p t-revsoner, som v hr udført  1. hvr 2016. Som en de f t-
revsonen hr v været p revsonsbesøg hos hver myndghed – enten hos myndgheden
med detgese f everndøren og/eer hos everndøren. Endvdere hr v fhodt opfø-
gende møder med myndgheder/everndører. For t skre smmengneghed p tværs f
myndghederne hr v tget udgngspunkt  den smme spørgermme, dog tpsset de kon-
krete systemer.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0016.png
10
NTRODUKTON OG KONKLUSON
Vores dokumentton bygger b.. p reevnt skrftgt mtere fr myndghederne, fx r-
skovurdernger, kontrkter, mtere, som understøtter kontrkterne, og revsorerkæ-
rnger.
Herudover hr v været  dog med Center for Cyberskkerhed og gort brug f konsuent-
bstnd fr Rmbø Mngement.
Den metodske tgng er nærmere beskrevet  bg 1.
25. Revsonen er udført  overensstemmese med god offentg revsonsskk, der er bse-
ret p de grundæggende revsonsprncpper  rgsrevsonernes nterntone stndrder
(SSA 100-999).
Afgrænsning
26. Beretnngen gver et øebksbede f, hvordn myndghederne p revsonstdspunk-
tet hr styret t-skkerheden hos t-everndørerne p en række væsentge omrder.
27. Beretnngen hnder om myndghedernes styrng f t-skkerheden hos t-drftsevern-
dørerne. Beretnngen hnder kke om, hvordn t-skkerheden er  prkss hos everndø-
rerne, og hvke konsekvenser en eventue mngende skkerhed kn hve. V hr dog be-
skrevet et pr nonymserede eksemper p prkss. De vser vgtgheden f myndgheder-
nes styrng, men ndgr kke  vurdernger og resutter. V hr desuden kke vurderet kv-
teten f den revson, de prvte revsorer hr udført.
28. V hr undersøgt myndghedernes krv t og opføgnng p t-drftseverndørernes d-
gngsstyrng og ognng  forhod t medrbederne hos drftseverndørerne. V hr kke
undersøgt dgngsstyrng og ognng  forhod t brugerne f ppktonen (fx sgsbehnd-
ere eer borgere).
V hr desuden kun undersøgt myndghedernes styrng f t-skkerheden hos
t-drftseve-
rndører
og kke hos everndører eer eksterne konsuenter, der vretger vedgehod og
udvkng mv. V hr derfor kun gennemget myndghedernes drftskontrkter med t-drfts-
everndører.
29. Bg 3 ndehoder en ordste, der forkrer udvgte ord og begreber.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0017.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
11
2. Myndighedernes styring
af it-sikkerheden
2.1.
MYNDIGHEDERNES RISIKOVURDERINGER
30. V hr undersøgt, om myndghederne hr foretget rskovurdernger f t-skkerheden
 systemernes t-nfrstruktur, der b.. omftter dgngsstyrng og ognng.
31. Der er som udgngspunkt potentet rsc og srbrheder  hvert f de enkete g  t-
nfrstrukturen for et t-system. SO 27001 gver mdertd kke konkrete nvsnnger t,
hvd der sk være omfttet f rskovurderngen for t gve et præcst bede f t-skker-
hedsrsc, og SO 27001 forhoder sg fx kke t begrebet t-nfrstrukturen.
Det er dog p bggrund f prncpperne  SO 27001 og veednnger mv. (f. bg 1) Rgsre-
vsonens opfttese, t det er den enkete myndgheds nsvr t skre, t myndghedens
rskovurderng dækker e gene  t-nfrstrukturen for t-systemet, og t rskovurdern-
gen tger udgngspunkt  myndghedens behov  forhod t t skre tgængeghed, fortro-
ghed og/eer ntegrtet  t-systemet og dt. De seneste rs skkerhedshændeser vser
vgtgheden herf. Nvng  forhod t g 5-8 v myndghederne dog ofte være fhængge
f nput fr everndørerne for t dentfcere rsc  dsse g og vurdere, hvd de betyder
for systemet.
Det er endvdere Rgsrevsonens opfttese, t hvs myndghederne kke hr foretget en
rskovurderng f systemerne og skret, t rskovurderngen dækker de enkete g  t-n-
frstrukturen og kke hr tget stng t rsc her, s ved myndgheden kke,  hvket om-
fng der er rsc  de enkete g  t-nfrstrukturen, og  hvket omfng everndørens sk-
kerhedsfornsttnnger tger hnd om dsse rsc. Myndghederne ved heer kke, hvke
skkerhedskrv det er reevnt t ste t everndøren, og hvke der eventuet kn und-
des, hvs der kke er behov. Det er derfor Rgsrevsonens opfttese, t myndghederne
bør foretge rskovurdernger, der tger høde for rsc  e gene  t-nfrstrukturen.
32. Revsonen vser, t Rgspotet hr foretget en rskovurderng f sne vgtgste for-
retnngsmæssge processer og de understøttende t-systemer (herunder Psregstret) og
hr gennemført omfttende skkerhedsnyser hos everndøren. Rgspotet hr  st SoA-
dokument ktvt tvgt t mpementere e kontroer fr SO 27001, herunder dgngs-
styrng og ognng. Rgsrevsonen vurderer, t Rgspotets rskovurderng, skkerhedsn-
yser og SoA-dokument tsmmen omftter e dee f t-nfrstrukturen for Rgspot-
ets centre systemer, herunder Psregsteret.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0018.png
12
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
SKAT hr udrbedet en rskovurderng f et større systemkompeks, som TstSev Borger
er en de f. TstSev Borger fremgr kke ekspct f rskovurderngen. Rgsrevsonen vur-
derer p den bggrund, t SKAT kke hr foretget en egentg rskovurderng f TstSev
Borger.
SKAT (for Nyt TstSev Erhverv), Dgtserngsstyresen, STAR og Søfrtsstyresen hr fo-
retget rskovurdernger, der kun generet eer  nogen grd omftter dgngsstyrng og
ognng  t-nfrstrukturen.
SKAT (for Nyt TstSev Erhverv) og Dgtserngsstyresen hr udrbedet systemspec-
fkke rskovurdernger, der b.. omhnder dgngsstyrng og ognng. Rskovurdernger-
ne er mdertd meget overordnede og mnger begrundeser. Derfor gver de kke et dæk-
kende bede f rsc  forhod t b.. dgngsstyrng og ognng  t-nfrstrukturen.
STAR og Søfrtsstyresen hr udrbedet rskovurdernger, som omftter myndghedernes
vgtge forretnngsprocesser og de understøttende t-systemer, herunder de undersøgte sy-
stemer. Rskovurderngerne er dog overordnede, d de kke forhoder sg deteret t b..
dgngsstyrng og ognng  de undersøgte systemers t-nfrstruktur.
Revsonen vser sedes, t de myndgheder, der kke hr tstrækkege rskovurdernger,
kke hr begrundet deres frvg p bggrund f deres rskovurdernger  forhod t d-
gngsstyrng og ognng  t-nfrstrukturen for de undersøgte t-systemer.
Revsonen vser vdere, t myndghedernes rskovurdernger – med undtgese f Rgspo-
tet – kke omftter e dee f t-nfrstrukturen.
RESULTATER
Rgsrevsonen vurderer, t myndghederne – bortset fr Rgspotet – kke hr udrbedet
tstrækkege rskovurdernger, hvket er en forudsætnng for, t myndghederne kn vur-
dere, begrunde og prortere, hvke krv der er reevnte t ste t everndørernes t-sk-
kerhed, herunder b..  forhod t dgngsstyrng og ognng  t-nfrstrukturen.
Revsonen vser, t Rgspotet hr vgt t mpementere e kontroer fr SO 27001, her-
under om dgngsstyrng og ognng. ngen f de øvrge myndgheder hr  deres rskovur-
dernger dokumenteret, t det kke er nødvendgt t ste krv t og føge op p dgngs-
styrng og ognng  e dee f t-nfrstrukturen. Desuden er rskovurderngerne – med
undtgese f Rgspotet – overordnede og omftter kke e dee f t-nfrstrukturen 
de undersøgte systemer.
Nr myndghedernes styrng f t-skkerheden kke er bseret p tstrækkege rskovur-
dernger, er der rsko for, t deres styrng f t-skkerheden kke tger udgngspunkt  myn-
dghedernes dokumenterede behov  forhod t beskyttese f tgængeghed, fortroghed
og ntegrtet f deres systemer og dt.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0019.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
13
2.2. MYNDIGHEDERNES KRAV OM REVISOR-
ERKLÆRINGER OG KONTROL AF IT-SIKKERHED
33. V hr undersøgt, om myndghederne hr stet krv om t modtge en rg revsorer-
kærng om everndørens t-skkerhed og krv om dgng t t foretge kontro f t-sk-
kerheden hos everndørerne  systemernes t-nfrstruktur (fx v tredeprt).
34. føge
Anbefnger t styrkese f skkerheden  sttens outsourcede t-drft
bør myn-
dghederne skre sg, t everndørerne  reevnt omfng er undergt ufhængg ekstern
t-skkerhedsrevson, og t revsonsrpporterne øbende gøres tgængege for myndg-
hederne.
Myndghederne bør desuden føge nbefngerne fte og formuere en ret t t foretge
kontro f efterevesen f ftte skkerhedskrv. Nr myndghederne ndgr kontrkt, bør
de sedes føge nbefngerne overvee, om det er nført  kontrkten, t myndgheden
(oftest v en ufhængg revsor) sk hve dgng t fx én gng rgt t foretge en ps-
sende nspekton f hndterng f dt hos everndøren. Aterntvt, t everndøren v
en ufhængg revsor redegør for, hvordn everndørens t-nfrstruktur, herunder skker-
hedsspecfktoner, hndteres.
Myndighedernes krav om en årlig revisorerklæring om leverandørernes it-sikkerhed
35. Fere f myndghederne hr opyst, t everndørerne er SO 27001-certfcerede, og
t det efter myndghedernes opfttese betyder, t everndørernes t-skkerhed er  or-
den.
Rgsrevsonen fnder, t SO-certfcerngen er vgtg, det certfcerngen vser, t den p-
gædende everndør hr etberet hensgtsmæssge processer for styrng f t-skkerhe-
den. mdertd tger SO-certfcerngen udgngspunkt  everndørens rskovurderng og
kke  myndghedens rskovurderng. Det er derfor vgtgt, t myndghederne ster krv om
revsorerkærnger og dgng t t foretge kontro/nspekton f t-skkerheden hos eve-
rndøren. Det er geedes vgtgt, t myndghederne øbende føger op p t-skkerheden
(f. fsnt 2.3 og 2.4).
Krteret om revsorerkærng er kke reevnt for Søfrtsstyresen, d Rgsrevsonen er re-
vsor for bde Sttens t og Søfrtsstyresen.
36. Revsonen vser, t Rgspotet, SKAT (for Nyt TstSev Erhverv), STAR og Dgtse-
rngsstyresen hr stet krv om t modtge en rg revsorerkærng om everndørens
t-skkerhed. Revsonen vser ogs, t der er forske p, hvken form for revsorerkærng
der er te om og dermed, hvd erkærngerne dækker.
Rgspotet hr stet krv om revsorerkærng, der specfkt dækker deres systemer hos
everndøren, herunder Psregstret, og som b.. forhoder sg t dgngsstyrng og og-
nng.
SKAT (for Nyt TstSev Erhverv) hr  forbndese med en ny kontrkt stet krv om frem-
over t modtge en systemspecfk revsorerkærng. SKAT hr modtget denne, efter re-
vsonen er fsuttet. SKAT hr hdt modtget en genere revsorerkærng.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0020.png
14
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
STAR modtger geedes en genere revsorerkærng.
Generee revsorerkærnger er kke kunde- og systemspecfkke. De omhnder everndø-
rernes generee t-kontroer og dækker everndørernes fæes t-mø, der normt kun
dækker g 5-8  t-nfrstrukturen. Hvs myndghederne føger op p t-skkerheden hos e-
verndørerne ene ved hæp f en genere revsorerkærng, dækker myndghedernes op-
føgnng derfor kke e dee f t-nfrstrukturen – og mugvs heer kke kontroer, som
myndghederne mtte fnde reevnte p bggrund f rskovurderngen.
Dgtserngsstyresen hr stet krv om t modtge en systemspecfk revsorerkæ-
rng fr everndørens ufhængge revsor og et revsonsprotokot (herefter smet be-
nævnt revsorerkærng). Tsynskonceptet for NemD fremgr f boks 1.
BOKS 1
TLSYNSKONCEPTET FOR NEMD
Dgtserngsstyresen hr opyst, t NemD er omfttet f den skdte OCES-stndrd og det
der beskrevne tsyn. Styresen hr opyst, t tsynet bev etberet fudstændg  overens-
stemmese med tsyn for kvfcerede certfkter  den dværende ov om eektronske sg-
nturer, og t de smme rmmer omkrng tsyn er fsthodt  den skdte eDAS-forordnng
(EU nr. 910/2014). Dgtserngsstyresen hr vdere opyst, t styresen føger tsynsrm-
merne  forordnngen tæt og desuden fører tsyn hvert r frem for hvert ndet r, som krvet
yder. Styresens opføgnng og tsyn er bseret p en sttsutorseret revsors erkærng om,
hvorvdt Nets ever op t krvene  OCES-certfktpotkken (CP) og føger den prkss, der er
beskrevet  Certfcton Prctce Sttement (CPS). Endeg hr Dgtserngsstyresen opyst,
t den sttsutorserede revsor udfører sn revson  overensstemmese med den skdte
SAE 3000-stndrd.
Som det fremgr f boks 1, er Dgtserngsstyresens tsynskoncept bseret p en rev-
sorerkærng, som udføres f en sttsutorseret revsor  overensstemmese med SAE
3000-stndrden. Dgtserngsstyresen fnder derfor, t de hr evet op t krvet ved
t føge tsynsrmmerne og stndrden. Det er Rgsrevsonens opfttese, t revsorer-
kærngen er formueret meget overordnet og kke ndehoder nformtoner om, hvke kon-
troer og tests revsorerkærngen er bseret p, og hvke g  t-nfrstrukturen revso-
nen hr dækket. Ved t modtge nformtoner herom kn tsyn og opføgnng styrkes yder-
gere.
Revsonen vser, t de øvrge undersøgte myndgheder, som modtger revsorerkærnger,
modtger nformtoner om de udførte kontroer og tests, hvket skber gennemsgtghed
om, hvd revsorerkærngerne er bseret p, og gver myndghederne mughed for t vur-
dere, om der eventuet er behov for ydergere, supperende opføgnng.
SKAT (for TstSev Borger) hr vgt kke t f en rg revsorerkærng.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0021.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
15
37. Ved t ste krv om dgng t t foretge kontro/nspekton hos everndøren (fx v
tredeprt) kn myndghederne suppere den ovennævnte opføgnng, s den dækker e
Myndighedernes krav om adgang til at foretage kontrol/inspektion af it-sikkerhed hos
leverandørerne
dee f t-nfrstrukturen og e reevnte kontroer. Adgng t t foretge kontro gver
desuden mughed for t kontroere t-skkerheden hos everndøren, hvs myndgheden fn-
der behov for det. Det er derfor et vgtgt krv, unset om myndghederne modtger en ge-
nere eer en systemspecfk revsorerkærng.
Krteret om dgng t t foretge kontro/nspekton hos everndøren er kke reevnt for
Søfrtsstyresen, der som kunde hos Sttens t kke hr t opgve t foretge denne kon-
tro/nspekton. Søfrtsstyresen hr dog som ed  sn opføgnng mughed for t bede St-
tens t om rpporterng om konkrete skkerhedsforhod, som er reevnte for deres system.
38. Revsonen vser, t e øvrge myndgheder – undtgen SKAT (for TstSev Borger) –
føge kontrkten hr dgng t t foretge kontro/nspekton hos everndøren. De kn
bde sev kontroere skkerheden hos everndøren, eer de kn foretge kontro v tred-
eprt.
Revsonen vser ogs, t Rgspotet og SKAT (for Nyt TstSev Erhverv) hr benyttet sg
f denne mughed og hr foretget nyser f t-skkerheden hos everndøren v tred-
eprt. Rgspotet hr desuden ndført stkprøvevs kontro f everndørens skkerheds-
ydeser, og den rge t-revson v fremdrettet bve foretget f en revsor, som Rgspo-
tet og everndøren hr udpeget  fæesskb.
RESULTATER
Revsonen vser, t de feste myndgheder hr stet krv om revsorerkærng og krv om
dgng t t foretge kontro/nspekton f t-skkerheden hos everndøren (fx v tred-
eprt).
Rgsrevsonen vurderer, t det er vgtgt, t myndghederne bver mere bevdste om, hvd
deres revsorerkærng dækker/kke dækker, s de p nden vs kn føge op p det, rev-
sorerkærngen kke dækker.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0022.png
16
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
2.3. MYNDIGHEDERNES KRAV OM OG OPFØLGNING PÅ
ADGANGSSTYRING
39. Som nævnt er det vgtgt, t myndghederne foretger rskovurdernger og p bggrund
herf ster reevnte krv t og føger op p t-skkerheden  de outsourcede t-systemer.
P bggrund f myndghedernes rskovurdernger kn myndghederne vurdere, om der er
behov for t ste krv t og føge op p dgngsstyrng  e g  t-nfrstrukturen.
Revsonen vser som nævnt  fsnt 2.1, t Rgspotet hr vgt t mpementere e kon-
troer fr SO 27001, herunder dgngsstyrng. ngen f de øvrge myndgheder hr  deres
rskovurdernger begrundet frvg  forhod t dgngsstyrng og hr kke dokumenteret,
t det kke er nødvendgt t ste krv t og føge op p dgngsstyrng  e dee f t-n-
frstrukturen.
V hr derfor som en ”temperturmng” undersøgt, om myndghederne hr stet krv t
og fugt op p everndørernes dgngsstyrng  systemernes t-nfrstruktur.
Myndighedernes krav om og opfølgning på, at leverandørerne begrænser medarbej-
dernes adgang og foretager brugerrettighedskontrol
40. føge
Anbefnger t styrkese f skkerheden  sttens outsourcede t-drft
er der be-
hov for, t myndghederne b.. ster krv t dgngskontroer, herunder krv t, t eve-
rndøren vurderer behovet for medrbederes dgng t systemer og dt. føge nbef-
ngerne sk myndghederne skre, t everndørerne begrænser medrbedernes dgng
t systemer og dt t, hvd der er behov for. Desuden sk myndghederne skre, t eve-
rndørerne hr pssende processer for brugerrettghedsstyrng og fører den nødvendge
øbende kontro hermed.
o fere medrbedere, der hr dgng, desto større er rskoen for msbrug og kompromt-
terng f systemer og dt. Der er des rsko for nternt msbrug, hvor medrbedere ms-
bruger deres rettgheder og dgng eer hndterer rettghederne uforsgtgt, des rsko
for eksternt msbrug, hvor fx en hcker, der er trængt nd  myndghedens t-systemer og
t-nfrstruktur, overtger og msbruger medrbederes dgng og rettgheder.
41. Derfor hr Rgsrevsonen undersøgt, om myndghederne des hr stet krv om, t e-
verndøren begrænser sne medrbederes dgng t, hvd der er et rbedsbetnget be-
hov for, des hr stet krv om, t everndøren foretger brugerrettghedskontroer (dvs.
kontro f, t kun godkendte medrbedere med et rbedsbetnget behov er bevet tdet
dgng).
42. Revsonen vser, t Rgspotet og SKAT (for Nyt TstSev Erhverv) hr stet begge
krv for e dee f t-nfrstrukturen.
Dermod hr SKAT (for TstSev Borger), STAR og Dgtserngsstyresen enten stet ge-
neree, upræcse krv eer kun stet krv t en de f t-nfrstrukturen, mens Søfrtssty-
resen kke hr stet dsse krv.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0023.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
17
Fx hr STAR  ftegrundget fstgt, t everndøren sk foretge dgngsstyrng  de
konkrete dee f t-nfrstrukturen (for DFDG), som opbevrer og behnder persondt. Det
er Rgsrevsonens opfttese, t dette dækker g 1-4, og t krvet derfor kke gæder for
resten f t-nfrstrukturen.
Revsonen hr vst et eksempe p, hvken konsekvens det kn hve, nr myndghederne
kke gør det krt, t et krv om fx dgngsstyrng omftter e dee f t-nfrstrukturen,
og der derfor er rum for fortoknng  forhod t everndørens forpgtese, f. boks 2.
BOKS 2
EKSEMPEL PÅ KONSEKVENSEN AF UKLARHED OM, HVORVDT KRAV
GÆLDER ALLE DELE AF T-NFRASTRUKTUREN
En f de undersøgte myndgheder hr stet et krv om, t everndøren begrænser sne med-
rbederes dgng ud fr et rbedsbetnget behov, og forventede, t krvet gdt for hee t-
nfrstrukturen. Vores revson vser mdertd, t everndøren tod dgng for et stort nt
personer, der kke e hvde et specfkt rbedsbetnget behov, t det serverrum, hvor myn-
dghedens system er pceret (g 8  t-nfrstrukturen (fyssk okton)).
43. Rgsrevsonen hr desuden undersøgt, om myndghederne hr fugt op p, t evern-
dørerne hr foretget brugerrettghedskontroer.
44. Revsonen vser, t Rgspotet og STAR hr fugt op p, t everndøren hr foretget
brugerrettghedskontroer  e dee f t-nfrstrukturen.
Rgspotet hr fugt op herp  e dee f t-nfrstrukturen ved hæp f systemspec-
fkke revsorerkærnger og hr ogs p nden vs konkret fugt op p dgngsstyrng og
ognng.
STAR hr fugt op v en genere revsorerkærng, som dækker everndørens fæes t-m-
ø (g 5-8  t-nfrstrukturen) STAR hr udført supperende opføgnng p everndørens
brugerrettghedskontroer for g 1-4 og hr derfor fugt op  e dee f t-nfrstrukturen.
Dgtserngsstyresen og SKAT (for Nyt TstSev Erhverv) hr kun fugt op p everndø-
rens brugerrettghedskontro  dee f t-nfrstrukturen, mens SKAT (for TstSev Borger)
og Søfrtsstyresen kke hr fugt op.
Fx hr Dgtserngsstyresen fugt op p everndørens brugerrettghedskontro v en
systemspecfk revsorerkærng. Som nævnt  fsnt 2.2 ndehoder revsorerkærngen k-
ke nformtoner om, hvke kontroer og tests revsorerkærngen er bseret p, eer hv-
ke g  t-nfrstrukturen revsor hr gennemget. Leverndørens eksterne revsor hr op-
yst t Rgsrevsonen, t deres revson hr dækket dgngsstyrng (herunder brugerret-
tghedskontro) og ognng  væsentge dee f t-nfrstrukturen. Dgtserngsstyresen
hr kke sev ndhentet opysnnger om de udførte kontroer og tests og hr derfor kke med
skkerhed kunnet vde, om revsorerkærngen dækker e dee f t-nfrstrukturen.
BRUGERRETTIGHEDS-
KONTROL
Brugerrettghedskontro er en
kontro f, t kun godkendte
medrbedere med et rbeds-
betnget behov er bevet tdet
dgng og rettgheder t syste-
mer og dt.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0024.png
18
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
45. Prvegerede brugere hr omfttende dgng og rettgheder t t-systemer og dt.
Ved t bryde deres psswords kn uvedkommende personer overtge rettghederne og t-
tvnge sg dgng t t-systemer og dt.
Myndghederne kn mndske denne rsko ved t ste krv om, t de prvegerede brugere
hos everndøren nvender stærke psswords. Der fndes ogs ndre vgtge skkerheds-
ttg, som kn begrænse denne rsko, fx segmenterng og to-fktorvderng. Stærke pss-
words er dog en bs form for dgngsstyrng.
Myndghedernes rskovurdernger hr kke dokumenteret, t everndørerne hr skkerheds-
fornsttnnger, der begrænser reevnsen f stærke psswords.
46. Derfor hr Rgsrevsonen undersøgt, om myndghederne hr stet krv om, t prve-
gerede brugere hos everndørerne nvender stærke psswords.
47. Revsonen vser, t Rgspotet, STAR, Dgtserngsstyresen og Søfrtsstyresen hr
stet krv herom  e dee f t-nfrstrukturen.
Dermod hr SKAT (for Nyt TstSev Erhverv) stet et generet, upræcst krv om, t prv-
egerede brugere hos everndøren nvender stærke psswords. Det er ukrt, hvke dee
f t-nfrstrukturen krvet gæder. SKAT hr for TstSev Borger kke stet krv herom.
48. Rgsrevsonen hr ogs undersøgt, om myndghederne hr fugt op p, t prvegerede
brugere hos everndøren nvender stærke psswords.
49. Revsonen vser, t Rgspotet som den eneste myndghed hr fugt op p, t prve-
gerede brugere hos everndøren nvender stærke psswords,  e dee f t-nfrstruk-
turen.
STAR og Dgtserngsstyresen hr kun fugt op herp  dee f t-nfrstrukturen, mens
SKAT (for begge de undersøgte systemer) og Søfrtsstyresen kke hr fugt op.
Myndighedernes krav om og opfølgning på, at privilegerede brugere hos leverandører-
ne anvender stærke passwords
Uklarhed om tilsynsforpligtelsen, herunder pligten til at stille krav om og følge op på ad-
gangsstyring
som er kunder hos Sttens t, f. bg 2.
50. Revsonen vser, t der er ukrhed om nsvrs- og opgvefordengen  forhod t t-
synet med Sttens t meem Fnnsmnsteret smt henhodsvs Søfrtsstyresen og STAR,
51. STAR og Erhvervs- og Vækstmnsteret, herunder Søfrtsstyresen, hr opyst, t de 2
styreser kke hr været opmærksomme p deres forpgteser med hensyn t krv og op-
føgnng  forhod t Sttens t. Det skydes, t de hr en nden opfttese f nsvrs- og op-
gvefordengen  forhod t tsynet med Sttens t meem Fnnsmnsteret og de 2 sty-
reser, herunder omfnget f deres forpgteser og Fnnsmnsterets tsyn.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0025.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
19
RESULTATER
Revsonen vser, t kun Rgspotet hr stet e de undersøgte krv t dgngsstyrng
 e dee f t-nfrstrukturen og fugt op herp  e dee f t-nfrstrukturen.
De øvrge myndgheder hr  større eer mndre grd forbedrngsmugheder  forhod t de-
res krv t dgngsstyrng og/eer opføgnng herp.
Forbedrngsmughederne  forhod t krv omftter, t myndghederne enten kke hr st-
et krv, hr stet krv, der kun omftter dee f t-nfrstrukturen, eer hr stet gene-
ree, upræcse krv, hvor det kke tydegt fremgr, hvke g  t-frstrukturen krvene gæ-
der. Forbedrngsmughederne  forhod t opføgnng omftter, t myndghederne enten k-
ke hr fugt op eer kun hr fugt op  dee f t-nfrstrukturen.
Rgsrevsonen vurderer, t mngende krv overder det t everndørerne t fstsætte
skkerhedsnveuet. Generee krv gver rum for fortoknng f, hvd everndørerne er for-
pgtede t. Begge dee ndebærer en rsko for, t everndørernes dgngsstyrng kke er,
som myndghederne forventer og/eer hr behov for.
Nr myndghederne kke føger op eer kun føger op  dee f t-nfrstrukturen, ved de k-
ke, om skkerheden er  orden, og om everndørerne efterever krvene, herunder om eve-
rndørerne hr en nden fortoknng f krvene.
Revsonen vser, t der er ukrhed om nsvrs- og opgvefordengen  forhod t tsynet
med Sttens t meem Fnnsmnsteret smt henhodsvs STAR og Søfrtsstyresen, som
er kunder hos Sttens t. STAR og Erhvervs- og Vækstmnsteret, herunder Søfrtsstyre-
sen, hr opyst, de 2 styreser kke hr været opmærksomme p deres forpgteser med
hensyn t krv og opføgnng  forhod t Sttens t. Det skydes, t de hr en nden opft-
tese f nsvrs- og opgvefordengen  forhod t tsynet med Sttens t meem Fnns-
mnsteret og de 2 styreser, herunder omfnget f deres forpgteser og Fnnsmnste-
rets tsyn.
Fnnsmnsteret hr opyst, t mnsteret v tge nttv t t præcsere omfnget f
st tsyn med Sttens t, herunder  forhod t de 8 g  t-nfrstrukturen og  forhod t
drftsmodeerne  Sttens t.
2.4. MYNDIGHEDERNES KRAV OM OG OPFØLGNING PÅ
LOGNING
52. Som nævnt er det vgtgt, t myndghederne foretger rskovurdernger og p bggrund
herf ster reevnte krv t og føger op p t-skkerheden  de outsourcede t-systemer.
P bggrund f myndghedernes rskovurdernger kn myndghederne vurdere, om der er
behov for t ste krv t og føge op p ognng  e g  t-nfrstrukturen.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0026.png
20
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
Revsonen vser som nævnt  fsnt 2.1, t Rgspotet hr vgt t mpementere e kon-
troer fr SO 27001, herunder ognng. ngen f de øvrge myndgheder hr  deres rsko-
vurdernger begrundet frvg  forhod t ognng og hr kke dokumenteret, t det kke er
nødvendgt t ste krv t og føge op p ognng  e dee f t-nfrstrukturen.
V hr derfor som en ”temperturmng” undersøgt, om myndghederne hr stet krv t
og fugt op p everndørernes ognng  systemernes t-nfrstruktur.
Krtererne om ognng er bseret p
Cyberforsvr der vrker
fr 2013. Center for Cybersk-
kerhed hr opstet en række nbefnger 
Lognng – en de f et godt cyberforsvr
(her-
efter ognngsveednngen) fr pr 2016. V hr gengvet noge f dsse nbefnger ne-
denfor t fremtdg nsprton (f. boks 3, 5, 6 og 7), men krterer og vurdernger er kke b-
seret herp, d veednngen udkom, mens v gennemførte revsonen.
Myndighedernes krav om og opfølgning på, at leverandøren foretager logning
53. føge
Cyberforsvr der vrker
fr 2013 øger god ognng sndsyngheden for t opd-
ge og opkre ngreb. Mnge myndgheder gemmer dog kke de rgtge ogs eer undder
vgtge deter.
Myndghederne bør p bggrund f rskovurderngerne fstægge, hvd der er reevnt t
ogge og  hvke dee f t-nfrstrukturen. Loggen kn ndehode forskege nformtoner
t brug for opkrng (fx td, hndnger og brugere).
BOKS 3
ANBEFALNG FRA CENTER FOR CYBERSKKERHED OM RSKOBASERET
LOGNNG
Det fremgr f ognngsveednngen fr 2016, t Center for Cyberskkerhed fortst ofte ser,
t vgtge ogs t t nysere hckerngreb kke er t rdghed, nr myndgheder bver rmt
f ngreb. føge ognngsveednngen kn det b.. skydes, t myndghederne kke hr stet
krv t de eksterne t-everndører om myndghedernes behov for ognng. føge Center for Cy-
berskkerhed v mnge everndører som udgngspunkt kun foretge ognng, hvs der er nd-
get specfkke fter herom.
Center for Cyberskkerhed nbefer derfor, t myndghederne p bggrund f en rskovurde-
rng fgør, hvke typer f ogs der bdrger mest  forebyggesen f truser eer bedst reduce-
rer konsekvenserne. Herved kn myndgheden dentfcere, hvken ognng der sk foretges,
herunder  hvke dee f t-nfrstrukturen.
54. Rgsrevsonen hr derfor undersøgt, om myndghederne hr stet krv om, t evern-
dørerne foretger ognng.
55. Revsonen vser, t Rgspotet, SKAT (for Nyt TstSev Erhverv) og Dgtserngssty-
resen hr stet krv herom for e dee f t-nfrstrukturen.
Omvendt hr SKAT (for TstSev Borger), STAR og Søfrtsstyresen enten kun stet krv,
der omftter dee f t-nfrstrukturen, eer stet generee, upræcse krv, der kke krt
defnerer, hvke g  t-nfrstrukturen krvene omftter.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0027.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
21
Revsonen hr vst et eksempe p konsekvensen f t ste generee krv og kke krt
defnere, t everndøren fx sk foretge ognng  e dee f t-nfrstrukturen, f. boks 4.
BOKS 4
EKSEMPEL PÅ KONSEKVENSEN AF GENERELLE, UPRÆCSE KRAV OM
LOGNNG
En f de undersøgte myndgheder forventede, t deres generee krv om ognng omfttede
prvegerede brugeres hndnger  dtbsen. Vores revson vste mdertd, t everndøren
kke tokede krvet p smme mde som myndgheden og derfor kke foretog den forventede
ognng.
56. Rgsrevsonen hr desuden undersøgt, om myndghederne hr fugt op p, t evern-
dørerne hr foretget ognng.
57. Revsonen vser, t det kun er Rgspotet, der hr fugt op p, om everndøren foret-
ger ognng  e dee f t-nfrstrukturen.
SKAT (for Nyt TstSev Erhverv), STAR og Dgtserngsstyresen hr fugt op herp  dee
f t-nfrstrukturen, mens SKAT (for TstSev Borger) og Søfrtsstyresen kke hr fugt op.
Myndighedernes krav om og opfølgning på, at leverandørerne regelmæssigt gennem-
går loggen
58. føge
Cyberforsvr der vrker
fr 2013 prorterer myndgheder – sev med gode ogs –
ofte kke t undersøge deres ogs for ngreb.
BOKS 5
ANBEFALNG FRA CENTER FOR CYBERSKKERHED OM GENNEMGANG
AF LOGS
Det fremgr f ognngsveednngen fr 2016, t det fortst er Center for Cyberskkerheds op-
fttese, t ogs prmært nvendes rektvt.
føge ognngsveednngen kn vsse typer f ogs med forde nvendes præventvt, fx  for-
bndese med en regemæssg gennemgng f oggen. Afhænggt f hvd de enkete ogs sk
nvendes t, sk myndghederne p forhnd besutte, om oggen sk gennemgs regemæs-
sgt eer bot gennemgs, nr der er ndtruffet en skkerhedshændese.
59. Rgsrevsonen hr derfor undersøgt, om myndghederne hr stet krv om, t evern-
dørerne regemæssgt gennemgr oggen.
Revsonen vser, t Rgspotet, SKAT (for Nyt TstSev Erhverv) og Dgtserngsstyre-
sen hr stet krv herom for e dee f t-nfrstrukturen.
Omvendt hr SKAT (for TstSev Borger), STAR og Søfrtsstyresen kke stet krv herom.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0028.png
22
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
STAR hr opyst, t de mener, t de hr stet krv om regemæssg gennemgng f oggen
for g 1-3  t-nfrstrukturen, og hr fremsendt dokumentton herom.
Det er Rgsrevsonens vurderng, t dokumenttonen kke vser, t de krv, STAR henvser
t, omftter regemæssg gennemgng f oggen.
60. Rgsrevsonen hr desuden undersøgt, om myndghederne hr fugt op p, t evern-
dørerne regemæssgt gennemgr oggen.
61. Revsonen vser, t Rgspotet og SKAT (for Nyt TstSev Erhverv) hr fugt op herp
 e dee f t-nfrstrukturen.
Dgtserngsstyresen hr fugt op  dee f t-nfrstrukturen, mens SKAT (for TstSev
Borger), STAR og Søfrtsstyresen kke hr fugt op.
Myndighedernes krav om og opfølgning på, at leverandørerne beskytter loggen, så den
hverken kan ændres eller slettes
tuee skkerhedshændeser.
62. føge
Cyberforsvr der vrker
er ogs et vgtgt redskb t t opdge og opkre even-
Hvs fx en hcker hr kompromtteret t-systemer eer dt, v vedkommende typsk for-
søge t søre sne spor  oggen. Derfor er det vgtgt t beskytte oggen, s den hverken kn
ændres eer settes.
BOKS 6
ANBEFALNG FRA CENTER FOR CYBERSKKERHED OM BESKYTTELSE AF
LOGGEN
Det fremgr f ognngsveednngen fr 2016, t myndghederne bør skre, t det kke er mu-
gt t foretge uutorserede ændrnger eer sette  oggen. Det kn fx gøres ved t opbev-
re ogs centrt og begrænse dgngen t ogs.
63. Rgsrevsonen hr derfor undersøgt, om myndghederne hr stet krv om, t evern-
dørerne beskytter oggen, s den hverken kn ændres eer settes.
64. Revsonen vser, t Rgspotet, SKAT (for Nyt TstSev Erhverv) og Dgtserngssty-
resen hr stet krv herom for e dee f t-nfrstrukturen.
Omvendt hr SKAT (for TstSev Borger), Søfrtsstyresen og STAR kke stet krv om t
beskytte oggen.
STAR hr opyst, t de mener, t de hr stet krv om beskyttese f oggen, dog kke for
e g  t-nfrstrukturen, og hr fremsendt dokumentton herfor.
Det er Rgsrevsonens vurderng, t dokumenttonen kke vser, t de krv, STAR henvser
t, omftter beskyttese f oggen.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0029.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
23
65. Rgsrevsonen hr endvdere undersøgt, om myndghederne hr fugt op p, t evern-
dørerne beskytter oggen, s den hverken kn ændres eer settes.
66. Revsonen vser, t det kun er Rgspotet, der hr fugt op p, om everndøren beskyt-
ter oggen mod ændrng og setnng  e dee f t-nfrstrukturen.
SKAT (for Nyt TstSev Erhverv), STAR og Dgtserngsstyresen hr kun fugt op herp
 dee f t-nfrstrukturen, mens SKAT (for TstSev Borger) og Søfrtsstyresen kke hr
fugt op.
SKAT hr  forhod t Nyt TstSev Erhverv opyst, t SKAT hr skret, t oggen opbevres
p en mde, s den kke kn ændres og settes. SKAT mener derfor, t det kke er reevnt
t føge op p, om everndøren beskytter oggen.
Rgsrevsonens vurderng er bseret p, t SKAT v revsorerkærngen føger op p, t de
ogs fr Nyt TstSev Erhverv, som opbevres  everndørens centre ogserver, er beskyt-
tet, s de kke kn ændres eer settes. SKAT føger kke op p de ogs, som opbevres de-
centrt, fx ogs p den fysske server. Det er Rgsrevsonens opfttese, t de ogs, der op-
bevres decentrt, kke er omfttet f den skrng f oggen, som SKAT henvser t, og t
det er vgtgt t føge op p, om everndøren fortst beskytter oggen mod ændrng og set-
nng, d det, der nses for t være skre øsnnger, kke nødvendgvs vedbver t være sk-
re øsnnger.
Myndighedernes krav om og opfølgning på, hvor længe leverandøren skal gemme log-
gen med henblik på opklaring af sikkerhedshændelser
67. føge
Cyberforsvr der vrker
gemmer mnge myndgheder kke de rgtge ogs.
BOKS 7
ANBEFALNG FRA CENTER FOR CYBERSKKERHED OM, HVOR LÆNGE
LOGS BØR GEMMES
En rsg t, t der ofte mnger ogs t t nysere og opkre ngreb, er føge ognngsve-
ednngen fr 2016, t ogs kke gemmes  tstrækkeg ng td.
Det er derfor føge Center for Cyberskkerhed væsentgt, t myndghederne  rskovurdern-
gen tger stng t, hvor ng td de enkete ogs sk gemmes. Center for Cyberskkerhed p-
peger, t der kn g ng td, fr et ngreb er sket, t det bver opdget. P opdgesestds-
punktet er det vgtgt, t de reevnte ogs kke er bevet settet.
føge Center for Cyberskkerhed bør myndghederne gemme de enkete ogs s ng td, det g-
ver menng under hensyntgen t de gædende reger. Center for Cyberskkerhed henvser des-
uden t, t Nton nsttute of Stndrds nd Technoogy (NST) foresr forskege opbev-
rngsperoder fhængg f de enkete ogs betydnng.
NATIONAL INSTITUTE
OF STANDARDS AND
TECHNOLOGY
nd Technoogy (NST) er en
merknsk offentg nsttuton,
som b.. udvker stndrder n-
den for t-skkerhed.
Nton nsttute of Stndrds
68. Rgsrevsonen hr derfor undersøgt, om myndghederne hr stet krv om, hvor æn-
ge everndørerne sk gemme oggen med henbk p opkrng f skkerhedshændeser.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0030.png
24
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
69. Revsonen vser, t Rgspotet, SKAT (for Nyt TstSev Erhverv) og Dgtserngssty-
resen hr stet krv om, hvor ænge everndøren sk gemme oggen, for e dee f t-
nfrstrukturen.
STAR hr kun stet krv herom for dee f t-nfrstrukturen, mens SKAT (for TstSev Bor-
ger) og Søfrtsstyresen kke hr stet krv herom.
70. Rgsrevsonen hr vdere undersøgt, om myndghederne hr fugt op p, hvor ænge e-
verndørerne gemmer oggen med henbk p opkrng f skkerhedshændeser.
71. Revsonen vser, t det kun er Rgspotet, der hr fugt op p, hvor ænge everndø-
ren gemmer oggen,  e dee f t-nfrstrukturen.
SKAT (for Nyt TstSev Erhverv), STAR og Dgtserngsstyresen hr fugt op herp  dee
f t-nfrstrukturen, mens SKAT (for TstSev Borger) og Søfrtsstyresen kke hr fugt op
herp.
Uklarhed om tilsynsforpligtelsen, herunder pligten til at stille krav om og følge op på logning
frtsstyresen og STAR, som er kunder hos Sttens t.
72. Revsonen vser som nævnt  fsnt 2.3, t der er ukrhed om nsvrs- og opgveforde-
ngen  forhod t tsynet med Sttens t meem Fnnsmnsteret smt henhodsvs Sø-
73. STAR og Erhvervs- og Vækstmnsteret, herunder Søfrtsstyresen, hr som nævnt op-
yst, de 2 styreser kke hr været opmærksomme p deres forpgteser  forhod t krv
og opføgnng  forhod t Sttens t. Det skydes, t de hr en nden opfttese f nsvrs-
og opgvefordengen  forhod t tsynet med Sttens t meem Fnnsmnsteret og de
2 styreser, herunder omfnget f deres forpgteser og Fnnsmnsterets tsyn.
RESULTATER
Kun Rgspotet hr stet e de undersøgte krv t ognng  e dee f t-nfrstruktu-
ren og fugt op herp  e dee f t-nfrstrukturen. De ndre myndgheder hr  større e-
er mndre grd forbedrngsmugheder  forhod t krv t og/eer opføgnng p ognng.
Forbedrngsmughederne  forhod t krv t ognng omftter, t myndghederne enten k-
ke hr stet krv, hr stet generee, upræcse krv, hvor det kke tydegt fremgr, hv-
ke g f t-frstrukturen krvene gæder, eer hr stet krv, der kun omftter noge f
gene  t-nfrstrukturen.
Forbedrngsmughederne  forhod t opføgnng omftter, t myndghederne enten kke
hr fugt op eer kun hr fugt op  dee f t-nfrstrukturen.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0031.png
MYNDGHEDERNES STYRNG AF T-SKKERHEDEN
25
Rgsrevsonen vurderer, t mngende krv t ognng overder det t everndørerne t
besutte, hvd der sk ogges, hvor ænge oggen sk gemmes, om den sk beskyttes, og
om oggen sk gennemgs regemæssgt. Generee og upræcse krv om ognng gver rum
for fortoknng f, hvd everndørerne er forpgtede t. Det ndebærer en rsko for, t e-
verndørernes ognng kke er, som myndghederne forventer.
Nr myndghederne kke føger op, ved de kke, om ognngen er  orden, og om everndø-
ren efterever krvene, herunder om everndøren hr en nden fortoknng f krvene. Nr
myndghederne ene føger op ved hæp f en genere revsorerkærng, omftter myndg-
hedernes opføgnng kke system- og kundespecfkke forhod hos everndøren.
Revsonen vser, t der er ukrhed om nsvrs- og opgvefordengen  forhod t tsynet
med Sttens t meem Fnnsmnsteret smt henhodsvs STAR og Søfrtsstyresen, som
er kunder hos Sttens t. STAR og Erhvervs- og Vækstmnsteret, herunder Søfrtsstyre-
sen, hr opyst, t de 2 styreser kke hr været opmærksomme p deres forpgteser  for-
hod t krv og opføgnng  forhod t Sttens t. Det skydes, t de hr en nden opftte-
se f nsvrs- og opgvefordengen  forhod t tsynet med Sttens t meem Fnnsm-
nsteret og de 2 styreser, herunder omfnget f deres forpgteser og Fnnsmnsterets
tsyn.
Fnnsmnsteret hr opyst, t mnsteret v tge nttv t t præcsere omfnget f
st tsyn med Sttens t, herunder  forhod t de 8 g  t-nfrstrukturen og  forhod t
drftsmodeerne  Sttens t.
Rgsrevsonen, den 2. november 2016
Lone Strøm
/Mds Nyhom cobsen
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0032.png
26
METODSK TLGANG
BILAG 1. METODISK TILGANG
Revisionens forløb og aktiviteter
Beretnngen bygger p t-revsoner, som Rgsrevsonen hr udført  1. hvr 2016. t-rev-
sonen hr omfttet 6 t-systemer fordet p 5 myndgheder. Revsonen hr bestet f re-
vsonsbesøg hos hver myndghed – enten hos myndgheden med detgese f everndø-
ren og/eer hos everndøren. Endvdere hr v fhodt opføgende møder med myndghe-
der/everndører.
For t skre smmengneghed p tværs f myndghederne hr v tget udgngspunkt  den
smme spørgermme, dog tpsset de konkrete systemer.
Vores dokumentton bygger b.. p reevnt skrftgt mtere fr myndghederne, fx r-
skovurdernger, kontrkter, mtere, som understøtter kontrkterne, og revsorerkærn-
ger. V hr ogs gennemget koper f skærmbeder og dtudtræk fr systemerne for t
se eksemper p fx dgngsstyrng og ognng, men v hr kke foretget en revson f t-
skkerheden hos everndørerne. t-revsonen og beretnngen hnder om myndghedernes
styrng f t-skkerhed hos everndørerne og kke om, hvordn t-skkerheden er  prkss
hos everndørerne.
Herudover hr v været  dog med Center for Cyberskkerhed og gort brug f konsuent-
bstnd fr Rmbø Mngement.
Revisionskriterier
V hr t brug for revsonen opstet revsonskrterer. Beretnngen omhnder 16 revsons-
krterer, som er en de f en større t-revson. De udvgte krterer dækker 4 emner: rs-
kovurderng, revsorerkærnger og kontro f skkerhed, dgngsstyrng smt ognng. V
hr udvgt dsse emner og krterer, d v nser dem for t være centre for styrngen f
t-skkerhed.
De valgte emner og kriterier
V hr vgt t undersøge myndghedernes rskovurderng, d rskovurderngen er fund-
mentet for t styre t-skkerheden. Myndghederne bør p bggrund f rskovurderngerne
besutter, hvordn de kn hndtere de dentfcerede rsc, og hvke fornsttnnger de
v mpementere.
V hr undersøgt krteret om myndghedernes rskovurdernger ud fr føgende mepunk-
ter:
Myndigheden har ikke foretaget en risikovurdering af systemet.
Myndigheden har foretaget en generel eller systemspecifik risikovurdering af systemet,
som i nogen grad omfatter adgangsstyring og logning i systemets it-infrastruktur, og/el-
ler som kun omfatter nogle lag/dele af it-infrastrukturen.
Myndigheden har foretaget en risikovurdering af systemet, der omfatter adgangsstyring
og logning for alle lag/dele af systemets it-infrastruktur.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0033.png
METODSK TLGANG
27
Revsorerkærnger sper en vgtg roe  myndghedernes styrng f t-skkerheden, d de
gver myndghederne nformton om, hvorvdt t-skkerheden er  orden p de omrder, er-
kærngerne omftter. Myndghedernes kontro/nspekton (fx v tredeprt) sper ogs
en vgtg roe, d den kn gve myndghederne nformton om forhod, der kke er omft-
tet f revsorerkærngerne. Derfor hr v vgt t undersøge myndghedernes krv om re-
vsorerkærnger og krv om mughed for t foretge kontro/nspekton hos everndø-
rerne.
V hr undersøgt krtererne om myndghedernes krv t revsorerkærnger og dgng t t
foretge kontro/nspekton ud fr føgende mepunkter:
Myndigheden har ikke stillet krav om henholdsvis revisorerklæring og adgang til at fore-
tage kontrol/inspektion.
Myndigheden har stillet krav om henholdsvis revisorerklæring og adgang til at foretage
kontrol/inspektion.
Adgngsstyrng, herunder psswords, er et vgtgt spekt f t-skkerhed. o fere medrbe-
dere, der hr dgng t systemet, desto større er rskoen for msbrug f rettgheder og d-
gng. Lognng er et ndet vgtgt spekt f t-skkerhed, v hr vgt t undersøge. God og-
nng øger chncen for t opdge og opkre ngreb, f.
Cyberforsvr der vrker.
Bde d-
gngsstyrng og ognng ndgr som kontroer  SO 27001.
V hr derfor – med fsæt  resutterne om rskovurdernger og som en ”temperturmng”
p myndghedernes krv og opføgnng – undersøgt, om myndghederne hr stet krv t
og fugt op p everndørernes dgngsstyrng og ognng.
V hr undersøgt de enkete krterer om myndghedernes krv om dgngsstyrng og og-
nng ud fr føgende mepunkter:
Myndigheden har ikke stillet krav.
Myndigheden har stillet et generelt, upræcist krav, eller myndigheden har kun stillet krav
for nogle lag/dele af it-infrastrukturen.
Myndigheden har stillet krav for alle lag/dele af it-infrastrukturen, eller der foreligger risi-
kovurderinger, der dokumenterer, at dette ikke er nødvendigt for alle lag/dele af it-infra-
strukturen.
V hr undersøgt de enkete krterer om myndghedernes opføgnng p dgngsstyrng og
ognng ud fr føgende mepunkter:
Myndigheden har ikke fulgt op.
Myndigheden har kun fulgt op i nogle lag/dele af it-infrastrukturen.
Myndigheden har fulgt op i alle lag/dele af it-infrastrukturen, eller der foreligger risiko-
vurderinger, der dokumenterer, at dette ikke er nødvendigt for alle lag/dele af it-infra-
strukturen.
Rgsrevsonen gør opmærksom p, t der er en række urdske spekter  forbndese med
ognng, som myndghederne sk forhode sg t. De reevnte bestemmeser kn vrere
p tværs f systemer og fhænger fx f, hvken type dt systemerne ndehoder. Det er
kke omfttet f denne beretnng.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0034.png
28
METODSK TLGANG
De emner og krterer, beretnngen omhnder, omftter bot en de f t-skkerheden. De ud-
gør derfor kke en udtømmende ste over, hvordn myndghederne sk styre t-skkerhe-
den hos everndørerne, herunder hvke krv myndghederne bør ste. Opfydese f krte-
rerne er derfor kke ensbetydende med en tstrækkeg styrng f t-skkerheden.
D rskobedet ændrer sg øbende, ændrer det sg over td, hvke skkerhedskrv der er
reevnte t ste, og hvket skkerhedsnveu det er tstrækkegt t kræve. Smtdg v
det fhænge f de enkete myndgheders rskovurdernger for de enkete systemer og sk
ses  smmenhæng med de smede skkerhedsfornsttnnger  de enkete systemer. Der-
for er de vgte krterer formueret overordnet fremfor t ngve specfkke nveuer.
Fnnsmnsteret ster krv om, t sttsge myndgheder føger t-skkerhedsstndrden
SO 27001 t styrng f t-skkerheden, herunder ogs t-skkerheden hos eksterne t-eve-
rndører. Myndghederne er desuden forpgtet t t føge
Nton strteg for cyber- og
nformtonsskkerhed
og forskege ov- og myndghedskrv p skkerhedsomrdet. Der-
for dnner SO 27001 og
Nton strteg for cyber- og nformtonsskkerhed
den overord-
nede rmme for krtererne. Derudover hr v som fortoknngsbdrg benyttet reevnte n-
befnger og veednnger fr Dgtserngsstyresen og Center for Cyberskkerhed som
rmme for krtererne.
V hr nvendt
Gude t mpementerng f SO 27001
(Dgtserngsstyresen, 2015),
Ve-
ednng  t-rskostyrng og -vurderng
(Dgtserngsstyresen, 2015),
Anbefnger t styr-
kese f skkerheden  sttens outsourcede t-drft
(Dgtserngsstyresen og Center for
Cyberskkerhed, 2014) og
Cyberforsvr der vrker
(Dgtserngsstyresen og Center for Cy-
berskkerhed, 2013).
Som suppement hr v nddrget
Lognng – en de f et godt cyberforsvr
(Center for Cyber-
skkerhed, pr 2016) som et fremdrettet fortoknngsbdrg t nsprton, d veednn-
gen er udkommet, mens revsonen bev gennemført. Derfor er krterer og vurdernger kke
bseret herp.
V hr kke opstet krterer p bggrund f skkerhedsmæssge ov- og myndghedskrv.
Det skydes, t det vrerer, hvke skkerhedsmæssge ov- og myndghedskrv de enkete
myndgheder er undergt, fhænggt f hvke dt mv. der ndgr  deres systemer. V hr
vgt t nvende smme krterer p tværs f de myndgheder, som ndgr  beretnngen,
for t skbe et godt smmengnngsgrundg.
Som det fremgr f tbe 1, er fere f kontrkterne ndget, før den ntone strteg, ve-
ednnger mv. udkom. P bggrund f grundprncpperne  SO 27001 fnder Rgsrevsonen
det vgtgt, t myndghederne øbende foretger rskovurdernger, og t myndghederne
p bggrund herf ster nye reevnte krv t skkerhedsttg, sev om kontrkterne er
ndget p et tdgere tdspunkt. Dette kn ske  form f fx onger, tægsfter og/e-
er bg.
Dert kommer, t de krv og nbefnger, der er udget fr Dgtserngsstyresen og Cen-
ter for Cyberskkerhed gennem de senere r, efter Rgsrevsonen opfttese er gædende
for sttsge myndgheder, unset hvornr myndghederne hr ndget kontrkter med de-
res t-everndører.
Kriteriernes ophæng
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0035.png
METODSK TLGANG
29
V hr derfor vgt t nvende krv og nbefnger, der er udkommet før revsonens pbe-
gyndese, som krterer for revsonen, sev om myndghederne hr ndget kontrkterne
med deres t-everndører p forskege tdspunkter, og sev om kke e krv og nbef-
nger, som v bserer krtererne p, vr udkommet p det tdspunkt, hvor de enkete kon-
trkter bev ndget.
Risikovurderinger af it-infrastrukturen
strukturen for et t-system.
Der er som udgngspunkt potentet rsc og srbrheder  hvert f de enkete g  t-nfr-
SO 27001 gver mdertd kke konkrete nvsnnger t, hvd der sk være omfttet f rs-
kovurderngen for t gve et præcst bede f t-skkerhedsrsc, og SO 27001 forhoder
sg fx kke t begrebet t-nfrstrukturen.
Det er dog p bggrund f prncpperne  SO 27001 og veednnger mv. Rgsrevsonens op-
fttese, t det er den enkete myndgheds nsvr t skre, t myndghedens rskovurde-
rng dækker e gene  t-nfrstrukturen for t-systemet, og t rskovurderngen tger ud-
gngspunkt  myndghedens behov  forhod t t skre tgængeghed, fortroghed og/e-
er ntegrtet  t-systemet og dt. De seneste rs skkerhedshændeser vser vgtgheden
herf. Nvng  forhod t g 5-8  t-nfrstrukturen v myndghederne dog ofte være f-
hængge f nput fr everndørerne for t dentfcere rsc  dsse g og vurdere, hvd de
betyder for systemet.
Det er Rgsrevsonens opfttese, t hvs myndghederne kke hr foretget en rskovur-
derng f systemerne og skret, t rskovurderngerne dækker de enkete g  t-nfrstruk-
turen og kke hr tget stng t rsc her, s ved myndgheden kke,  hvket omfng der
er rsc  de enkete g  t-nfrstrukturen, og  hvket omfng everndørens skkerheds-
fornsttnnger tger hnd om dsse rsc. Myndghederne ved heer kke, hvke skker-
hedskrv det er reevnt t ste t everndøren, og hvke der eventuet kn unddes, hvs
der kke er behov. Det er derfor Rgsrevsonens opfttese, t myndghederne bør foretge
rskovurdernger, der tger høde for rsc  e gene  t-nfrstrukturen.
Det er Rgsrevsonens opfttese, t det føger f prncpperne  SO 27001, t myndghe-
derne bør skre, t deres rskovurdernger forhoder sg t hee systemet og de enkete g
 den underggende t-nfrstruktur, for t kunne begrunde vg og frvg f fornsttnn-
ger/kontroer og f vshed om, t de kke hr unddt vgtge fornsttnnger/kontroer.
Det fremgr desuden f
Anbefnger t styrkese f t-skkerheden  sttens outsourcede
drft,
t myndgheden bør vurdere rskobedet ved outsourcng f t-drft smmenhodt
med rskobedet ved egen drft/nsourcng. Rskobedet smmenhodes med de forret-
nngsmæssge m og myndghedens rskovghed p omrder, hvor der kke er rsko for
personføsomme eer ntone dt. Myndghederne sk herunder ved udbud eer ndkøb
f t-everncer vurdere t-skkerhedsrsc ved den ptænkte t-evernce og t-skkerheds-
rsc ved ntegrtonen f everncen  myndghedens øvrge t-mø og besutte pssende
skrngsttg. Det er fgørende for myndghedens t-skkerhed, t den øbende dentfce-
rer de srbrheder, der mtte være ved t væge en outsourcet øsnng, s t-skkerhedsfor-
nsttnngerne kn usteres eer nye ndføres.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0036.png
30
METODSK TLGANG
føge
Veednng  t-rskostyrng og -vurderng
bør dentfkton f rsc tge udgngs-
punkt  de skdte ktver, som er omfttet f orgnstonens t-skkerhedsrbede. Ak-
tverne bør dentfceres p et pssende nveu  forhod t orgnstonens størrese og
det ønskede deterngsnveu f rskovurderngen.  mnge tfæde kn ktverne grup-
peres, s ntet begrænses, men der stdg er mughed for t knytte specfkke truser
t dem. Fx kn routere, swtche og frews grupperes som netværksudstyr eer nfrstruk-
tur.
Desuden fremgr det f
Gude t mpementerng f SO 27001,
t støttektver som fx hrd-
wre og softwre, fysske oktoner og nterkton med nformtonerne sk dentfceres
og medtges  vurderngen f de truser og srbrheder, der v kunne ktuseres  rsko
for tb f fortroghed, ntegrtet og tgængeghed.
føge guden hnder rbedet med t dentfcere reevnte truser om t undersøge, hvd
der kn true nformtonsskkerheden.
Endeg fremgr det f Dnsk t’s gude
Skkerhed ved t-outsourcng
fr 2012, t det er vg-
tgt, t vrksomhederne forstr det mø, som outsources, t bunds.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0037.png
FNANSMNSTERETS TLSYN MED STATENS T OG KUNDERNES FORPLGTELSER
31
BILAG 2. FINANSMINISTERIETS TILSYN MED STATENS IT
OG KUNDERNES FORPLIGTELSER
Dette bg beskrver, hvordn Fnnsmnsteret betrgter st tsyn med Sttens t og for-
pgteserne for de myndgheder, der er kunder hos Sttens t.
Desuden beskrver bget STAR’s og Søfrtsstyresens opfttese f nsvrs- og opgve-
fordengen meem kunderne og Fnnsmnsteret, som vretger tsynet med Sttens t
p kundernes vegne.
STAR og Søfrtsstyresen er kunder hos Sttens t p 2 forskege mder. Erhvervs- og
Vækstmnsteret, herunder Søfrtsstyresen, er tsuttet Sttens t, som vretger drf-
ten f styresens t-systemer, herunder Skbsregstret. Styresen kn derfor kke frt væge
drftseverndør, men sk benytte Sttens t.
Drften f STAR’s system DFDG er outsourcet t KMD v Sttens t’s rmmefte med eks-
terne everndører. Fnnsmnsteret hr opyst, t Sttens t hr nsvret for drftsft-
en med KMD, men t STAR som systemeer hr godkendt den krvspecfkton, der gger
t grund for kontrkten med KMD. STAR hr desuden hft mughed for øbende t ste sup-
perende t-skkerhedsmæssge krv t KMD v Sttens t.
Baggrund
Finansministeriets tilsyn med Statens It og kundernes forpligtelser
Fnnsmnsterets tsyn med Sttens t hr bestet f Dgtserngsstyresens tsyn og
Fnnsmnsterets Koncernrevsons revson.
Fnnsmnsteret hr opyst, t fokus  Dgtserngsstyresens tsynsktvteter hr væ-
ret p, om edesen  Sttens t hr etberet drftsmæssge og orgnstorske procedurer,
der understøtter de fæessttsge bsseverncer t kunderne, herunder t nfrstruktu-
ren, dtcenter mv., s de overordnede krv t styrng f t-skkerhed eftereves. Revso-
nerne gr dermod  dybden omkrng de teknske øsnnger og skkerhedsfornsttnnger
og efterprøver, om forretnngsgngene, f. SO-stndrderne, eftereves.
føge Fnnsmnsteret omftter hverken tsynet eer Koncernrevsons revsoner som
udgngspunkt kundernes fgspecfkke systemer. Dog bemærkes det, t Fnnsmnster-
ets tsyn med Sttens t dækker generee t-kontroer og efterevese f SO-stndrden,
hvket udgør et væsentgt grundg for drften f kundernes fgspecfkke systemer, f.
stndrdkundeften og thørende bg.
Det er Erhvervs- og Vækstmnsterets opfttese, t det er vget f drftsmode  Sttens
t, der fgør, om drften f t-nfrstrukturen (bssgrundg) er omfttet f Fnnsmnste-
rets tsyn.
Fnnsmnsteret hr opyst, t mnsteret v tge nttv t t præcsere omfnget f
st tsyn med Sttens t, herunder  forhod t de 8 g  t-nfrstrukturen og  forhod t
drftsmodeerne  Sttens t.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0038.png
32
FNANSMNSTERETS TLSYN MED STATENS T OG KUNDERNES FORPLGTELSER
Kundernes risikovurderinger
Kundernes rskovurdernger f fgsystemer er het centre ved vurderngen f, om kun-
derne hr skret en tstrækkeg og dækkende skkerhed. Hvs der kke er vet en tstræk-
keg rskovurderng, kn der kke stes de rgtge krv t Sttens t, og dermed er det og-
s umugt efterføgende t foretge og dokumentere en tstrækkeg opføgnng p v-
retgesen f t-drften. Fnnsmnsteret er eng med Rgsrevsonen , t nsvret for t
foretge en rskovurderng f fgsystemer gger hos kunden. Hvs kunden vurderer, t det
enkete fgsystem kke hr behov for særge skkerhedsfornsttnnger, og det derved
kn omfttes f Sttens t’s stndrdkundefte, bør dette ekspct skrves  rskovurde-
rngen.
Kundernes krav til Statens It
Fnnsmnsteret hr opyst, t som føge f rskovurderngen kn kunderne ste krv t
Sttens t om udføresen f t-drften for kundernes fgsystem. De bse krv t Sttens
t, herunder krv t generee t-kontroer, efterevese f SO-stndrden mv., v være om-
fttet f stndrdkundeften med thørende bg. Hvs kunderne hr ønsker, som ræk-
ker ud over det bse, v dsse være ftt særskt, og Sttens t kn fkturere p bg-
grund herf. føge Fnnsmnsteret gger nsvret for t ste de tstrækkege krv t
Sttens t hos kunderne, d de er de eneste, der kn vurdere behovet for skkerhed.
Kundernes opfølgning
Fnnsmnsteret udfører tsynet med Sttens t’s generee kontroer og bse skkerhed,
hvket drften f fgsystemerne hver p. Fnnsmnsteret er forpgtet t t frpporte-
re tsynet t kunderne og  den forbndese henede kundernes opmærksomhed p større
probemstnger og rsc.  tsynsrpporten redegøres for de udførte revsoner fr sve
ntern revson som fr Rgsrevsonen, s kunderne fr en præcserng f, hvke omrder
der hr hft tsynets og revsonens fokus. Koncernrevsonen revderer ud fr en turnus,
hvor e omrder  SO-stndrden gennemgs nden for en 4-rg perode. Ved revsoner-
ne testes det b.., om forretnngsgngene overhoder stndrder og er hensgtsmæssgt
mpementeret. Herudover hr Rgsrevsonen gennemført supperende revson.
Kunden er forpgtet t t forhode sg t Fnnsmnsterets tsyn. Hvs tsynet vser væ-
sentge udfordrnger  Sttens t’s opgvevretgese, bør kunden føge Fnnsmnster-
et ekspct tge stng t, om dette gver nednng t nttver. Kunderne hr desuden
mughed for t fgve ønsker t tsynet, hvs der er særge omrder, de mener, t tsynet
sk gennemg/efterse.
Det er Rgsrevsonens opfttese, t kundens forpgteser fhænger f kundens rskovur-
derng. Fnnsmnsteret er eng med Rgsrevsonen her. Hvs kunden  sn rskovurderng
vurderer, t der kke er særge skkerhedskrv/rsc, v det være omfttet f de krv, der
er stet  kundeften, og opføgnngen v ogs være omfttet f Fnnsmnsterets t-
syn med Sttens t. Kunden er dog forpgtet t t forhode sg t Fnnsmnsterets tsyn,
herunder om det gver nednng t t bede tsynet om t tge særge emner op.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0039.png
FNANSMNSTERETS TLSYN MED STATENS T OG KUNDERNES FORPLGTELSER
33
Hvs kunden  rskovurderngen vurderer, t der er te om særge rsc, som rækker ud
over den skkerhed, der er opstet  kundeften, hr kunden føge Fnnsmnsteret en
forpgtese t t synggøre dette krv over for Sttens t. Kunden hr derudover en forpg-
tese t t ste krv t, hvordn Sttens t frpporterer t kunden omkrng de særge for-
nsttnnger. Kunden hr en forpgtese t t føge op p, t de særge fter og skrngs-
fornsttnnger udføres. Dette omfttes kke f Fnnsmnsterets tsyn. De øvrge for-
hod omkrng systemet, som gger  bsspkken for Sttens t’s everncer, v dog være
omfttet f Fnnsmnsterets tsyn p kundernes vegne.
Fnnsmsteret hr opyst, t tsynet og koncernrevson kun hr omfttet de kunder, der
hr Sttens t som drftseverndør.
STAR’s og Erhvervs- og Vækstministeriets, herunder Søfartsstyrelsens, opfattelse af
ansvars- og opgavefordelingen mellem dem, Finansministeriet og Statens It
STAR hr opyst, t det er styresens opfttese, t Fnnsmnsteret hr tsynet med og
nsvret for de 5 nederste g  t-nfrstrukturen  DFDG (dvs. g 4-8), og t STAR hr n-
svret for kundens fgspecfkke progrmmer og systemer (de første 2-3 g  t-nfrstruk-
turen – dvs. g 1, 2 og devst g 3).
STAR hr desuden opyst, t det  forængese herf er STAR’s opfttese, t Fnnsmnste-
ret sk udrbede rskovurdernger for g 4-8 og føre tsyn hermed.
Det er Rgsrevsonens opfttese, t STAR sk foretge rskovurderng, ste krv og fø-
ge op  e 8 g  t-frstrukturen.
STAR’s opfattelse af ansvars- og opgavefordelingen
Erhvervs- og Vækstministeriets, herunder Søfartsstyrelsens, opfattelse af ansvars- og
opgavefordelingen
Erhvervs- og Vækstmnsteret hr opyst, t det er mnsterets opfttese, t kundernes
fgspecfkke progrmmer kn være omfttet f Dgtserngsstyresens tsyn og Fnns-
mnsterets Koncernrevson. Hvke dee f t-nfrstrukturen som Dgtserngsstyresen
og Fnnsmnsteret føfter tsynsforpgtesen for, fhænger f den vgte drftsmode
for det enkete fgsystem. Det er Erhvervs- og Vækstmnsterets opfttese, t udgngs-
punktet for tsynet er fæeseverncer, fx nfrstruktur. Det betyder, t Fnnsmnsterets
tsyn – t efter vg f drftsmode – fører tsyn med nfrstrukturen.  de tfæde, hvor
mn som kunde vurderer, t Sttens t’s øsnng kke er tstrækkeg, og derfor ster skær-
pede krv t skkerheden, sk kunden pse og kontroere, t Sttens t efter fte hono-
rerer dsse krv. Det er Erhvervs- og Vækstmnsterets opfttese, t dee f g 3 og g
4-8  t-nfrstrukturen  Skbsregstret er omfttet f Dgtserngsstyresens tsyn og F-
nnsmnsterets Koncernrevson.
Det er Erhvervs- og Vækstmnsterets opfttese, t Søfrtsstyresen hr en forpgtge-
se t t ste supperende krv t Sttens t, hvs de vurderer, t Fnnsmnsterets tsyn
kke er tstrækkegt.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0040.png
34
FNANSMNSTERETS TLSYN MED STATENS T OG KUNDERNES FORPLGTELSER
Det er desuden Erhvervs- og Vækstmnsterets opfttese, t de som kunde  Sttens t er
forpgtet t t hode sg opdteret  forhod t Fnnsmnsterets tsyn med Sttens t,
men t særge krv t emner kun er nødvendge, hvs kunden vurderer, t det pgæden-
de fgsystem hr specfkke behov. Erhvervs- og Vækstmnsteret er  øbende dog med
Sttens t om skkerheden  de systemer, som Sttens t er drftseverndør p.
Efter Rgsrevsonens opfttese hr Søfrtsstyresen kke dokumenteret, t de hr gort
dette og hr kke p bggrund f en rskovurderng dokumenteret, t der kke hr været
behov herfor.
Erhvervs- og Vækstmnsteret hr opyst, t g 1, 2 og dee f g 3  t-nfrstrukturen for
Skbsregstret kke vedgehodes f Sttens t, men f et konsuentfrm, og t dsse g er
omfttet f en seprt everndørfte og everndøropføgnng. Desuden er det Erhvervs-
og Vækstmnsterets opfttese, t krv t og opføgnng  dee f g 3 og g 4-8  Skbs-
regstret er omfttet f Dgtserngsstyresens tsyn og Fnnsmnsterets Koncernre-
vson, hvorfor Søfrtsstyresens forpgtese hert føftes.
Erhvervs- og Vækstmnsteret hr opyst, t Søfrtsstyresen derfor kke ster krv om e-
er føger op p dgngsstyrng særskt for Skbsregstret. Søfrtsstyresen ster for s
vdt ngr g 1, 2 og dee f g 3 krv t sn nden everndør, og Søfrtsstyresen føger
ævngt op herp.
Erhvervs- og Vækstmnsteret hr  forhod t krteret om t ste krv om, t everndø-
ren foretger ognng, opyst, t Søfrtsstyresen kun hr stet generee krv t ognng 
Sttens t, d der her er te om de krv, som er omfttet f ftekompekset meem Sø-
frtsstyresen og Sttens t. P tdspunktet for udrbedesen f rskovurderngen og p
revsonstdspunktet bev Skbsregstret drftet p en forædet ptform, hvor det kke vr
mugt t ogge p enkete nveuer  teknoogstkken. Skbsregstret er efterføgende ved
t bve overført t en nutdg ptform, hvor det fremdrettet er mugt t ogge.
 forhod t de øvrge krterer om krv t og opføgnng p ognng hr Erhvervs- og Vækst-
mnsteret opyst, t det er mnsterets opfttese, t tsynsforpgtesen med krv t og
opføgnng p ognng gger hos Dgtserngsstyresen og Fnnsmnsterets Koncern-
revson for s vdt ngr Skbsregstrets g 4-8 og dee f g 3. Skbsregstrets g 1, 2
og dee f g 3 er omfttet f en seprt everndørkontrkt.
Sttens t vretger t-drften f Skbsregstret, herunder fvkng f softwre og fyssk
udstyr  systemets t-nfrstruktur  g 1-8. Beretnngen hnder ene om Søfrtsstyre-
sens t-drftseverndør – Sttens t. Søfrtsstyresen hr en vedgehodeses- og udvk-
ngsfte med en softwreeverndør. Softwreeverndøren vretger skdt ppk-
ton mngement (dvs. b.. fesøgnng, ferettese og vdereudvkng  g 1-2 og dee f
g 3  Skbsregstrets t-nfrstruktur).
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0041.png
FNANSMNSTERETS TLSYN MED STATENS T OG KUNDERNES FORPLGTELSER
35
Derfor fnder v, t det er reevnt for Søfrtsstyresen t foretge rskovurderng, der om-
ftter e 8 g  Skbsregstrets t-nfrstruktur hos Sttens t, ste krv t dgngssty-
rng og ognng  e 8 g  Skbsregstrets t-nfrstruktur hos Sttens t, gesom Søfrts-
styresen  sn opføgnng sk forhode sg ktvt t Fnnsmnsterets tsyn med Skbs-
regstrets t-nfrstruktur hos Sttens t, herunder om det dækker de 8 g, og om der er
behov for ydergere.
Det er Rgsrevsonens opfttese, t Fnnsmnsterets tsyn kke føfter Søfrtsstyre-
sens forpgtese t t ste supperende krv. Desuden er det Rgsrevsonens opfttese,
t hvs dette kke vr teknsk mugt, burde det fremg f rskovurderngen.
Det er Rgsrevsonens opfttese, t kunderne er forpgtet t ktvt t forhode sg t det
tsyn, Fnnsmnsteret fører med Sttens t p vegne f kunderne, fx ved t spørge nd
t tsynet eer ste krv t emner, der sk være særgt fokus p. Dette bør ske med ud-
gngspunkt  myndghedens rskovurderng, s tsynet fspeer myndghedernes specfk-
ke behov for t-skkerhed.
V hr desuden gennemget Fnnsmnsterets tsynsrpport for Sttens t for 2013, 2014
og 2015 og vurderer, t tsynet eer de omtte revsoner kke hr omhndet forhod 
Skbsregstrets t-nfrstruktur med betydnng for dgngsstyrng og ognng. Fnnsmn-
steret hr opyst, t Fnnsmnsterets Koncernrevson  henhod t sn turnuspn hr
gennemget dgngsstyrng og ognng. Rgsrevsonen konstterer, t dsse revsoner k-
ke hr omfttet Skbsregstret.
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0042.png
36
ORDLSTE
BILAG 3. ORDLISTE
Aftegrundg/
kontrktgrundg
Appkton
Brugergrænsefde
Dtbse
Fortroghed
Fyssk okton
Fyssk server
Er  denne smmenhæng nvendt  betydnngen skrftgt, formet mtere, der beskrver evern-
dørens forpgteser. Det omftter kontrkten med bg og eventuee ændrngstæg, tægsft-
er mv.
Den de f det smede system, der ”ved”, hvordn nformtonerne  brugergrænsefden sk be-
hndes.
En webbrowser eer et dedkeret progrm, hvor brugerne ndtster og æser nformtoner t og fr
systemet.
Centrt opbevrngssted for systemets dt.
nformton og dt kn kun tgs f utorserede personer, som hr et rbedsbetnget behov.
Fysske oker med fcteter som fx strøm, køng og rmer.
Den enhed/komponent, der understøtter behndngen f dt mv. og fungerer som grænsefde
meem de fysske dee og de ogske dee.  denne beretnng er det den ogske dgng t den fys-
ske server v fx LO™ og DRAC™.
Betegner  denne beretnng en ukendt og uutorseret person, der foretger en uovg hndng ved
 det skute t skffe sg dgng t og/eer nvende ndres t-systemer eer dt. Formet med
hckng og de nvendte metoder fhænger f de personer eer orgnstoner, der str bg, dvs. om
det er fremmede stter, krmnee orgnstoner eer ndvder, som p egen hnd msbruger nst-
tutonernes svgheder.
Softwre, der gør det mugt t opdee den fysske mskne  én eer fere vrtuee mskner og der-
ved fvke fere opertvsystemer p smme mskne.
nformtoner og dt er korrekte og pdege.
En nternton nformtonsskkerhedsstndrd, som føser den tdgere skkerhedsstndrd
DS 484. De sttsge myndgheder hr skuet føge SO 27001 fr nur 2014 og hve færdgmpe-
menteret den prmo 2016.
t-systemer bestr f forskege teknske g/dee (t-nfrstrukturen), som tsmmen er en forud-
sætnng for, t systemerne kn fungere korrekt. t-nfrstrukturen kn opdees  8 g: brugergræn-
sefde, ppkton, dtbse, opertvsystem, eventuet hypervsor, fyssk server, netværk og fy-
ssk okton.
F, hvor nsttutonerne gemmer regstrernger f opysnnger om nvendese f og hændeser  n-
sttutonernes t-systemer og dt.
Regstrerng f opysnnger om nvendese f og hændeser  nsttutonernes t-systemer og dt.
En genere betegnese for de g  t-nfrstrukturen, typsk dtbsen, som bnder ppktonen
smmen med de underggende g.
ndebærer, t en person uretmæssgt kn f dgng t en række f nsttutonernes t-systemer og
dt.
Der kn fx være te om, t personen uretmæssgt fbryder eer ændrer dtkørser. Der kn ogs
være te om, t personen uretmæssgt ændrer, setter eer æser/stæer dt.
Fysske komponenter, der gør det mugt for et t-system t kommunkere med omverdenen/ndre
systemer.
Den grundæggende komponent, der styrer den fysske eer vrtuee mskne og gver mughed for
t fvke fx ppktoner og dtbser. En vrtue mskne er en demængde f den fysske m-
skne, der styres f hypervsoren.
Hcker
Hypervsor
ntegrtet
SO27001
t-nfrstruktur
Log
Lognng
Mddewre
Msbrug og kompromt-
terng f t-systemer og
dt
Netværk
Opertvsystem
 FIU, Alm.del - 2016-17 - Bilag 24: Beretning nr. 5/2016 om styring af it-sikkerhed hops it-leverandører
1689579_0043.png
ORDLSTE
37
Outsourcet
 denne beretnng defnerer v outsourcet bredt som t-øsnnger/-systemer, der drves f e-
er  smrbede med eksterne t-everndører, dvs. t eksterne t-everndører vretger
drften f t-systemer for myndghederne, eer t myndghedernes opgvevretgese er
bseret p sdnne t-systemer, der everes f eksterne everndører som en teneste. Myn-
dghederne er derfor nsvrge for t-skkerhed  forhod t de systemer eer tenester, som
de benytter  deres opgvevretgese.
Brugere, der hr et høere nveu f rettgheder, dgng og kontro over nsttutonens t-sy-
stemer og dt end mndege brugere.
En genere revsorerkærng er kke kunde- og systemspecfk. Den omhnder everndørens
generee t-kontroer og dækker everndørens fæes t-mø, der normt kun dækker g
5-8  t-nfrstrukturen.
En systemspecfk revsorerkærng omhnder kundens konkrete systemer og forhoder sg
t t-kontroer  og omkrng det pgædende t-system.
Prvegerede brugere
Revsorerkærng
(genere og systemspecfk)
Revsorprotokot
Segmenterng f
netværk
Server (fyssk server)
Skkerhedsfornsttnnger
Er en revsors rpporterng om den udførte t-revson t en vrksomheds bestyrese, som 
denne beretnng er om t-everndørens t-skkerhed.
Myndgheden hr opdet netværket  fgrænsede omrder. Det medvrker fx t t skre, t
hckerngreb kke kn sprede sg t e t-systemer og dt, men kun rmmer en begræn-
set de f netværket.
Den komponent, der udfører dtbehndng for fx opertvsystem, dtbse og ppkton.
Skkerhedsfornsttnnger sk bdrge t t forhndre eer opdge msbrug og kompro-
mtterng f t-systemer og dt. Det er fx teknske reger  systemerne, der kn forhndre
uønskede hndnger.
Skkerhedshændese/skkerheds-
Skkerhedshændeser er uventede hændeser  t-møet, der ndkerer, t der er eer kn
brud
være noget gt.
Skkerhedsbrud betyder, t en ntern eer ekstern person forsætgt eer uforsætgt hr fo-
retget en hndng, der truer t-skkerheden.
SoA-dokument
(Sttement of Appcbty)
Tgængeghed
To-fktorvderng
Er et centrt dokument  skkerhedsrbedet efter SO 27001. SoA-dokumentet sk om-
hnde edesens prorterng f skkerheden, herunder besutnnger om vg og frvg f
skkerhedsfornsttnnger  forhod t forretnngens m og rskoprof.
Systemet fungerer som forventet, og brugerne kn øse deres opgver her og nu.
dentfkton f en person ud fr brugernvnet og 2 eementer, som kun brugeren kn præ-
sentere: Noget brugeren ved (pssword), noget, brugeren hr (fx nøgekort), eer noget, bru-
geren er (bometr, fngerftryk, rs, nethnde osv.).