Kort fortalt
It-sikkerheden på Statens It's servere
Konklusion
Statens It under Finansministeriet har ikke sikret, at alle Statens It’s servere kan sikkerhedsopdateres. Det
skyldes dels, at Statens It ikke har opgraderet eller nedlagt servere, der ikke længere kan sikkerhedsopda-
teres, dels at de har et ufuldstændigt overblik over myndighedernes servere. Dette finder Rigsrevisionen
utilfredsstillende. Konsekvensen er, at der er risiko for, at hackere kan få adgang til følsomme personop-
lysninger og forretningskritiske data, og at disse oplysninger og data kan blive misbrugt eller ødelagt.
Statsrevisorerne udtaler
”Center for Cybersikkerhed under Forsvarets Efterretningstje-
neste vurderer, at truslen i Danmark fra cyberkriminalitet og
cyberspionage er meget høj, og at truslen fra cyberaktivime er
høj. Statsrevisorerne finder det utilfredsstillende, at Statens It
ikke har sikret, at alle Statens It’s servere kan sikkerhedsopda-
teres. Statsrevisorerne finder det bekymrende, at Statens It’s
utilstrækkelige sikkerhedsopdateringer og utilstrækkelige kom-
penserende foranstaltninger indebærer risiko for, at borgeres
og virksomheders personoplysninger og forretningskritiske
data kan blive misbrugt eller ødelagt. Statsrevisorerne finder
det også bekymrende, at borgeres og virksomheders tillid til
offentlige myndigheder kan blive svækket som følge deraf”.
Det er en grundlæggende del af en god it-sikkerhed at hol-
de servere opdaterede. En server har en begrænset levetid,
hvor leverandøren forpligter sig til at udvikle sikkerheds-
opdateringer, i takt med at sårbarheder opdages. Når leve-
tiden ophører, vil serveren ikke længere kunne sikkerheds-
opdateres.
Spredning af et cyberangreb mellem servere i et fiktivt åbent
netværk
Hacker
Væsentligste resultater af undersøgelsen
• Statens It har ikke opgraderet eller nedlagt servere,
inden leverandøren er ophørt med at udvikle sikker-
hedsopdateringer.
• Statens It har ikke gennemført tilstrækkelige kom-
penserende foranstaltninger for de servere, der ikke
længere kan sikkerhedsopdateres.
• Statens It har ikke procedurer, der sikrer, at de løben-
de og rettidigt kan opgradere eller nedlægge servere,
der ikke længere kan sikkerhedsopdateres.
Baggrund og formål med undersøgelsen
Formålet med undersøgelsen er at vurdere, om Statens It
under Finansministeriet har sikret, at Statens It’s servere
kan sikkerhedsopdateres, så følsomme personoplysninger
og forretningskritiske data ikke udsættes for en unødig ri-
siko for kompromittering. Danmark er et af de mest digita-
liserede lande i verden, og cybertrusler er derfor et grund-
vilkår for danske myndigheder. Cyberangreb kan medføre,
at statens it-systemer og data bliver ødelagt eller gjort util-
gængelige, samt at oplysninger om danske borgere og virk-
somheder bliver misbrugt eller ødelagt.
Statens It har ansvaret for it-drift og it-sikkerhed for de 46
myndigheder, der indgår i undersøgelsen. Statens It har
ansvaret for serverne og deres sikkerhed, mens myndighe-
derne i de fleste tilfælde har ansvaret for driften af de fag-
systemer, som ligger på serverne. Statens It har oplyst, at
de ikke kan opgradere eller nedlægge serverne, fordi myn-
dighederne ikke har opfyldt deres ansvar for at sikre, at
myndighedernes fagsystemer er kompatible med nye ser-
vere. Rigsrevisionen konstaterer, at det nuværende setup
ikke er tilstrækkeligt til at løse problemet, og anbefaler
derfor, at Finansministeriet tager stilling til, om der er den
rigtige arbejds- og ansvarsfordeling mellem Statens It og
myndighederne i forhold til serverne, så Statens It kan løfte
deres ansvar for it-sikkerheden i statens it-infrastruktur.
Læs hele rapporten på
www.rigsrevisionen.dk.
Kontakt Rigsrevisionens
eller Statsrevisorernes sekretariatschef Gitte Korff på tlf. 33 37 59 85/