Kort fortalt
Statens it-beredskab II
Konklusion
Indenrigs- og Sundhedsministeriet har for sit samfundskritiske it-system sikret et it-beredskab, der i over-
vejende grad er tilfredsstillende. Dele af it-beredskabet for Erhvervsstyrelsens og Søfartsstyrelsens 4 sam-
fundskritiske it-systemer er ligeledes i overvejende grad tilfredsstillende, men der er dog mangler. For de
resterende 7 samfundskritiske it-systemer er der ikke et tilfredsstillende it-beredskab. Særligt er it-bered-
skabet mangelfuldt for 5 af it-systemerne (system
C, D, E, F
og
G).
Statsrevisorerne udtaler
”Center for Cybersikkerhed under Forsvarets Efterretningstje-
neste vurderer, at truslen i Danmark fra cyberkriminalitet og
cyberspionage er meget høj, og at truslen fra cyberaktivisme
er høj.
Med denne anden undersøgelse af statens it-beredskab har
Rigsrevisionen gennemgået i alt 25 af statens ca. 90 sam-
fundskritiske it-systemer. Statsrevisorerne kritiserer, at der
for 7 af de 12 undersøgte samfundskritiske it-systemer ikke er
sikret et tilfredsstillende it-beredskab. Det indebærer risiko
for, at staten ikke kan opretholde eller markant får forstyrret
løsningen af samfundskritiske opgaver i tilfælde af større it-
nedbrud, hackerangreb, fysiske skader e.l.”.
Det er derfor afgørende, at myndighederne har et tilstræk-
keligt it-beredskab på plads, inden der sker større it-ned-
brud eller datatab.
Formålet med Rigsrevisionens undersøgelse er at vurdere,
om staten har et tilfredsstillende it-beredskab for 12 udvalg-
te samfundskritiske it-systemer, så staten kan opretholde
samfundskritiske funktioner i tilfælde af større it-hændel-
ser.
I beretningen undersøger vi myndighedernes grundlag for
it-beredskabet i form af kortlægning af systemafhængig-
heder og risikovurderinger, samt om myndighederne har
udarbejdet og testet 3 typer af it-beredskabsplaner, som
skal håndtere forskellige opgaver:
• krisestyringsplaner
• nødplaner
• reetableringsplaner.
For reetableringsplanerne har vi undersøgt, om planerne
indeholder en række centrale elementer.
Samlet vurdering af reetableringsplanerne for de udvalgte
it-systemer
100
80
Point
60
100
40
20
0
A
B
8
C
17
D
E
F
G
System
H
I
J
K
L
67
58
INGEN PLAN
INGEN PLAN
Væsentligste resultater af undersøgelsen
• For halvdelen af it-systemerne er der et tilstrækkeligt
grundlag for it-beredskabet i form af risikovurderinger
og overblik over systemafhængigheder.
• For hovedparten af it-systemerne er der udarbejdet it-
beredskabsplaner, men der er stor variation i planer-
nes kvalitet. Enkelte af it-beredskabsplanerne er til-
fredsstillende, mens fx mange af reetableringsplaner-
ne har betydelige mangler. For enkelte it-systemer er
der slet ikke udarbejdet it-beredskabsplaner.
• Kun et fåtal af it-beredskabsplanerne er blevet testet.
Det betyder, at myndighederne ikke har trænet bered-
skabet og dermed ikke ved, om it-beredskabsplanerne
virker efter hensigten.
58
Baggrund og formål med undersøgelsen
Offentlige myndigheder er afhængige af it-systemer for at
kunne løse deres opgaver. Større it-nedbrud og tab af data
i myndighedernes samfundskritiske it-systemer kan have
store konsekvenser for både staten, borgere og virksomhe-
der.
Elementer, der indgår i reetableringsplanen
Elementer, der mangler i reetableringsplanen
Ikke relevant, da ansvaret for it-systemet er ressortoverført til Statens It
Læs hele rapporten på
www.rigsrevisionen.dk.
Kontakt Rigsrevisionens
pressechef Lisbeth Sørensen på tlf. 33 92 85 06/[email protected]
eller Statsrevisorernes sekretariatschef Gitte Korff på tlf. 33 37 59 85/
[email protected] for yderligere information.