Finansudvalget 2017-18
SB 4 5
Offentligt
2322396_0001.png
Februar 2021
Rigsrevisionens notat om
beretning om
3 regioners beskyttelse af
adgangen til it-systemer
og sundhedsdata
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
2322396_0002.png
Fortsat notat til Statsrevisorerne
1
Opfølgning i sagen om 3 regioners beskyttelse af adgan-
gen til it-systemer og sundhedsdata (beretning nr. 4/2017)
21. januar 2021
RN 1401/21
1. Rigsrevisionen følger i dette notat op på sagen om 3 regioners beskyttelse af adgan-
gen til it-systemer og sundhedsdata, som blev indledt med en beretning i 2017. Vi har
tidligere behandlet sagen i notat til Statsrevisorerne af 4. april 2018.
Sagsforløb for en større
undersøgelse
Beretning
Konklusion
Region Syddanmark, Region Midtjylland og Region Hovedstaden har siden Rigsrevisio-
nens beretning fra 2017 arbejdet med initiativer til at sikre beskyttelse af adgangen til
it-systemer og sundhedsdata. Alle 3 regioner har siden 2017 forbedret beskyttelsen af
adgangen til it-systemer og sundhedsdata markant og opfylder i 2020 19 ud af de 20 til-
tag, som indgik i beretningen, mod mellem 7 og 10 ud af 20 i 2017. Hver region mang-
ler således kun at opfylde ét tiltag, og for alle 3 regioner er det udestående tiltag del-
vist opfyldt. Regionerne har desuden implementeret kompenserende foranstaltninger,
der reducerer risikoen ved de delvist opfyldte tiltag. Alle 3 regioner har oplyst, at de
er ved at rette op på de udestående tiltag og forventer at opfylde tiltagene i løbet af 2021.
Rigsrevisionen finder det tilfredsstillende, at regionerne har rettet op på hovedparten
af de udestående tiltag siden 2017.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:
de 3 regioners arbejde med at nå i mål med hver deres sidste udestående tiltag.
Ministerredegørelse
§ 18, stk. 4-notat
Fortsat notat
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
I. Baggrund
2. Rigsrevisionen afgav i november 2017 en beretning om 3 regioners beskyttelse af ad-
gangen til it-systemer og sundhedsdata. Beretningen handlede om, hvad 3 regioner –
Region Syddanmark, Region Midtjylland og Region Hovedstaden – gør for at beskytte
adgangen til it-systemer, der indeholder sundhedsdata om borgerne. Regionerne har
ansvaret for at beskytte sundhedsdata, der indeholder følsomme persondata om bor-
gernes helbred. Regionerne skal sikre, at disse data er fortrolige, men også, at de er til-
gængelige og pålidelige, så patienter kan få den rette behandling til den rette tid.
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
2322396_0003.png
2
3. Da Statsrevisorerne behandlede beretningen, bemærkede de, at de 3 regioners be-
skyttelse af adgangen til it-systemer og sundhedsdata ikke var tilfredsstillende. Her-
med er der risiko for, at følsomme og fortrolige persondata kommer i hænderne på
uvedkommende eller ikke er pålidelige og tilgængelige, når der er brug for dem.
Af Statsrevisorernes bemærkning til Endelig betænkning af 26. april 2018 fremgår det,
at Statsrevisorerne med tilfredshed konstaterede, at Region Syddanmark, Region
Midtjylland og Region Hovedstaden havde iværksat en række tiltag, der skal beskytte
adgangen til it-systemer og sundhedsdata, men at der fortsat udestod enkelte tiltag.
Henset til områdets væsentlighed og risiko anmodede Statsrevisorerne Rigsrevisionen
om at følge op på, at de udestående initiativer i de 3 regioner blev implementeret.
4. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på
følgende punkt:
Et opfølgningspunkt afsluttes,
når Statsrevisorerne på bag-
grund af indstilling fra Rigsre-
visionen vurderer, at myndig-
hedernes initiativer er tilfreds-
stillende.
Opfølgningspunkt
1. De 3 regioners implementering af de tiltag, hvor
Rigsrevisionen påpegede mangler.
Status
Behandles i dette notat.
5. Vi redegør i dette notat for resultaterne af opfølgningen på ovenstående punkt.
Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på
www.ft.dk/Statsrevisorerne.
II. Regionernes initiativer
6. Vi gennemgår i det følgende de 3 regioners initiativer i forhold til de mangler, som
Rigsrevisionen påpegede i beretningen fra 2017. Gennemgangen er baseret på revi-
sionsbesøg hos Region Syddanmark, Region Midtjylland og Region Hovedstaden og
på skriftlig dokumentation fra de 3 regioner.
Regionernes implementering af de tiltag, hvor Rigsrevisionen påpegede
mangler
7. Det fremgik af beretningen, at beskyttelsen af adgangen til it-systemer og sundheds-
data ikke var tilfredsstillende i de 3 regioner. De 3 regioner havde en utilstrækkelig im-
plementering af flere tiltag under følgende temaer: politik for it-sikkerhed på udvalgte
områder, grundlæggende sikringstiltag mod hackerangreb, styring og kontrol af med-
arbejdere med privilegerede rettigheder, styring og kontrol af system- og servicekon-
ti med privilegerede rettigheder og logning af konto med privilegerede rettigheder.
Politik, retningslinjer og procedurer for it-sikkerhed på udvalgte områder
8. Tabel 1 viser resultaterne af Rigsrevisionens opfølgning på, om regionerne har poli-
tikker, retningslinjer og procedurer for it-sikkerhed på udvalgte områder, og om regio-
nernes politikker, retningslinjer og procedurer er forbedret siden 2017. I beretningen
vurderede Rigsrevisionen, at tilstrækkelige politikker for it-sikkerhed som minimum bør
omfatte de 4 nævnte tiltag i tabel 1.
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
2322396_0004.png
3
Tabel 1
De 3 regioners politikker, retningslinjer og procedurer for it-sikkerhed på udvalgte områder i
2020 sammenlignet med 2017
Region
Syddanmark
2017
Regionen har udarbejdet en politik, retningslinjer og procedurer
for grundlæggende sikringstiltag mod hackerangreb
Regionen har udarbejdet en politik, retningslinjer og procedurer
for tildeling af privilegerede rettigheder til medarbejdere
Regionen har udarbejdet en politik, retningslinjer og procedurer
for system- og servicekonti med privilegerede rettigheder
Regionen har udarbejdet en politik, retningslinjer og procedurer
for logning af konti med privilegerede rettigheder
2020
Region
Midtjylland
2017
2020
-
-
-
Region
Hovedstaden
2017
2020
-
-
-
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
regionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2017 og Rigsrevisionens opfølgning fra 2020.
Det fremgik af beretningen fra 2017, at Region Hovedstaden opfyldte alle 4 tiltag. Des-
uden fremgik det, at Region Syddanmark ikke havde udarbejdet politikker for it-sik-
kerhed på de udvalgte områder. Endelig fremgik det, at Region Midtjylland havde ud-
arbejdet politikker, retningslinjer og procedurer på næsten alle områder, men kun i no-
gen grad havde udarbejdet en politik, retningslinjer og procedurer for system- og ser-
vicekonti med privilegerede rettigheder.
Vores opfølgning viser, at de 3 regioner i 2020 alle har udarbejdet politikker, retnings-
linjer og procedurer for it-sikkerhed på de udvalgte områder.
9. Rigsrevisionen finder det tilfredsstillende, at de 2 regioner nu opfylder alle tiltag.
Rigsrevisionen vurderer derfor, at denne del af sagen kan afsluttes.
Grundlæggende sikringstiltag mod hackerangreb
10. Statsrevisorerne bemærkede, at de grundlæggende sikringstiltag mod hackeran-
greb ikke i tilstrækkelig grad var implementeret i nogen af de 3 regioner. Statsreviso-
rerne fandt det særligt kritisk, at 27.000 medarbejdere i Region Syddanmark havde
lokaladministratorrettigheder, da det øger risikoen for hackermisbrug.
11. Tabel 2 viser resultaterne af Rigsrevisionens opfølgning på, om regionerne har im-
plementeret grundlæggende sikringstiltag mod hackerangreb, og om sikringstiltage-
ne er forbedret siden 2017. Rigsrevisionen vurderede i beretningen, at tilstrækkelige
grundlæggende sikringstiltag mod hackerangreb som minimum bør omfatte de 6
nævnte tiltag i tabel 2.
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
2322396_0005.png
4
Tabel 2
De 3 regioners grundlæggende sikringstiltag mod hackerangreb i 2020 sammenlignet med 2017
Region
Syddanmark
2017
Regionen har begrænset download af programmer
Regionen har sikret, at kun godkendte programmer kan afvikles
Regionen har sikret, at regionen kan hente sikkerhedsopdateringer
fra producenterne af relevante produkter
Regionen har løbende gennemført sikkerhedsopdateringer af rele-
vante produkter, der kan opdateres
Regionen har sikret, at ingen medarbejdere har lokaladministrator-
rettigheder
Regionen har etableret tiltag, fx segmenteret netværket, så en
inficering i form af hackere eller malware ikke kan sprede sig ube-
grænset
2020
-
-
Region
Midtjylland
2017
2020
-
-
-
Region
Hovedstaden
2017
2020
-
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
regionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2017 og Rigsrevisionens opfølgning fra 2020.
Det fremgik af beretningen fra 2017, at alle 3 regioner manglede at opfylde mellem 3
og 4 grundlæggende sikringstiltag mod hackerangreb. Derudover fremgik det, at alle
3 regioner havde gennemført løbende sikkerhedsopdateringer af relevante produkter,
der kan opdateres.
Vores opfølgning viser, at de 3 regioner alle har implementeret grundlæggende sik-
ringstiltag mod hackerangreb i 2020. Revisionen har i den forbindelse vist, at Region
Syddanmark er gået fra, at alle brugere (27.000) havde lokaladministratorrettigheder
som standard, til, at ingen brugere nu har lokaladministratorrettigheder som standard.
12. Rigsrevisionen finder det tilfredsstillende, at de 3 regioner nu opfylder alle tiltag for
grundlæggende sikringstiltag mod hackerangreb. Rigsrevisionen vurderer derfor, at
denne del af sagen kan afsluttes.
Styring og kontrol af medarbejdere med privilegerede rettigheder
13. Statsrevisorerne bemærkede, at styring og kontrol af medarbejdere med privile-
gerede rettigheder var mangelfuld i alle 3 regioner, herunder at der var utilstrækkelig
begrænsning af muligheder for at tilgå internettet, når der logges på med privilegere-
de rettigheder.
14. Tabel 3 viser resultaterne af Rigsrevisionens opfølgning på de 3 regioners styring
og kontrol af medarbejdere med privilegerede rettigheder, og om styringen og kon-
trollen er forbedret siden 2017. Rigsrevisionen vurderede i beretningen, at tilstrække-
lig styring og kontrol af medarbejdere med privilegerede rettigheder som minimum bør
omfatte de 5 nævnte tiltag i tabel 3.
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
2322396_0006.png
5
Tabel 3
De 3 regioners styring og kontrol af medarbejdere med privilegerede rettigheder i 2020 sam-
menlignet med 2017
Region
Syddanmark
2017
Regionen har et begrænset antal medarbejdere, der permanent
har privilegerede rettigheder
Regionen har sikret, at alle medarbejdere med privilegerede rettig-
heder anvender en personlig administratorkonto
Regionen har implementeret en regelmæssig kontrol af medarbej-
dere med privilegerede adgangsrettigheder
Regionen har sikret, at personlige passwords til konti med privile-
gerede rettigheder følger god praksis og er systemunderstøttede
Regionen har sikret, at medarbejdere med privilegerede rettighe-
der ikke kan tilgå internettet, når de er logget på med disse rettig-
heder
2020
-
-
Region
Midtjylland
2017
2020
-
-
Region
Hovedstaden
2017
2020
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
regionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2017 og Rigsrevisionens opfølgning fra 2020.
Det fremgik af beretningen i 2017, at de 3 regioner manglede at opfylde mellem 3 og 4
tiltag. Derudover fremgik det, at alle 3 regioner havde sikret, at alle medarbejdere med
privilegerede rettigheder anvender en personlig administratorkonto.
Vores opfølgning viser, at Region Midtjylland i 2020 opfylder alle 5 tiltag med hensyn
til styring og kontrol af medarbejdere med privilegerede rettigheder. Derudover viser
vores opfølgning, at Region Syddanmark og Region Hovedstaden hver mangler at op-
fylde ét tiltag.
Region Syddanmark har ikke sikret, at medarbejdere med privilegerede rettigheder ik-
ke kan tilgå internettet, når de er logget på med disse rettigheder. Regionen har dog
en ledelsesgodkendt risikovurdering heraf. Desuden har regionen kompenserende
foranstaltninger, der delvist reducerer risikoen. Region Syddanmark har oplyst, at re-
gionen arbejder på et projekt, der skal begrænse adgangen til internettet for brugere
med privilegerede rettigheder. Regionen forventede, at projektet ville være gennem-
ført ultimo 2020, men projektet er blevet forsinket som følge af Corona-situationen
og forventes i stedet gennemført i 1. kvartal 2021.
Region Hovedstaden har implementeret en kontrol af medarbejdere med privilegere-
de adgangsrettigheder, men kontrollen omfatter ikke alle domæner, og regionen har
ikke dokumenteret det konkrete arbejdsbetingede behov for hver af de enkelte med-
arbejdere med privilegerede rettigheder. De domæner, der ikke er omfattet, er under
afvikling, og desuden har regionen implementeret kompenserende foranstaltninger,
der reducerer risikoen. Region Hovedstaden har oplyst, at regionen vil påbegynde af-
viklingen af domænerne primo 2021. Det er ikke muligt at give en fast tidshorisont for,
hvornår domænerne er afviklet, men at dette vil ske i et tempo, der er driftsmæssigt
forsvarligt.
Domæner
Domæner er grupper af enhe-
der (netværksenheder, com-
putere og brugere), der styres
af et fælles brugeradministra-
tionssystem (AD), hvori regio-
nen styrer og kontrollerer ad-
gange og rettigheder til it-sy-
stemer og data.
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
2322396_0007.png
6
15. Rigsrevisionen finder det tilfredsstillende, at Region Midtjylland opfylder alle tilta-
gene. Derudover finder Rigsrevisionen det tilfredsstillende, at Region Syddanmark og
Region Hovedstaden opfylder 4 ud af 5 tiltag og arbejder på at implementere de reste-
rende tiltag. Rigsrevisionen vil fortsat følge Region Syddanmarks og Region Hovedsta-
dens arbejde med at implementere hver deres resterende tiltag.
Styring og kontrol af system- og servicekonti med privilegerede rettigheder
16. Statsrevisorerne bemærkede, at Region Syddanmark og Region Hovedstaden hav-
de passwords til system- og servicekonti, der ikke havde været skiftet i lang tid – op
til 9 år – og passwords, der ikke levede op til god praksis.
17. Tabel 4 viser resultaterne af Rigsrevisionens opfølgning på Region Syddanmarks
og Region Hovedstadens styring og kontrol af system- og servicekonti med privilege-
rede rettigheder, og om styringen og kontrollen er forbedret siden 2017. I beretningen
vurderede Rigsrevisionen, at tilstrækkelig styring og kontrol af system- og servicekon-
ti med privilegerede rettigheder som minimum bør omfatte de 2 nævnte tiltag i tabel 4.
Tabel 4
De 3 regioners styring og kontrol af system- og servicekonti med privilegerede rettigheder
Region
Syddanmark
2017
Regionen har et begrænset antal system- og servicekonti med
privilegerede rettigheder
Regionen har sikret, at passwords til system- og servicekonti med
privilegerede rettigheder følger god praksis og er systemunder-
støttede
2020
-
Region
Midtjylland
2017
2020
-
-
Region
Hovedstaden
2017
2020
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
regionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2017 og Rigsrevisionens opfølgning fra 2020.
Det fremgik af beretningen fra 2017, at Region Syddanmark ikke havde sikret, at pass-
words til system- og servicekonti med privilegerede rettigheder fulgte god praksis og
var systemunderstøttede. Derudover fremgik det, at Region Midtjylland opfyldte beg-
ge tiltag, og at Region Hovedstaden manglede at opfylde begge tiltag.
Vores opfølgning viser, at både Region Syddanmark og Region Hovedstaden har op-
fyldt tiltagene om styring og kontrol af system- og servicekonti med privilegerede ret-
tigheder i 2020. Revisionen viser, at passwords i Region Syddanmark og Region Ho-
vedstaden nu følger god praksis, herunder at de er systemunderstøttede og er skiftet
for nyligt.
18. Rigsrevisionen finder det tilfredsstillende, at de 2 regioner nu alle opfylder begge
tiltag. Rigsrevisionen vurderer derfor, at denne del af sagen kan afsluttes.
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
2322396_0008.png
7
Logning af konti med privilegerede rettigheder
19. Statsrevisorerne bemærkede, at alle 3 regioners logningstiltag var mangelfulde,
hvilket gør det vanskeligt at opdage og opklare hackerangreb og misbrug af rettighe-
der. Statsrevisorerne bemærkede derudover, at Region Midtjylland ikke havde imple-
menteret nogen af de undersøgte logningstiltag, til trods for at regionen havde udarbej-
det en politik for området.
20. Tabel 5 viser resultaterne af Rigsrevisionens opfølgning på de 3 regioners logning
af konti med privilegerede rettigheder, og om logningen er forbedret siden 2017. I be-
retningen vurderede Rigsrevisionen, at tilstrækkelig logning af konti med privilegere-
de rettigheder som minimum bør omfatte de 3 nævnte tiltag i tabel 5.
Tabel 5
De 3 regioners logning af konti med privilegerede rettigheder
Region
Syddanmark
2017
Regionen har sikret, at konti med privilegerede rettigheder logges,
når de starter programmer, så sporbarheden sikres
Regionen har sikret, at logfiler gennemgås regelmæssigt med hen-
blik på at opdage uautoriserede ændringer eller uhensigtsmæssig-
heder i it-miljøet
Regionen har sikret, at medarbejder med privilegerede rettigheder,
der logges, ikke har adgang til loggen
2020
Region
Midtjylland
2017
2020
Region
Hovedstaden
2017
2020
-
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
regionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2017 og Rigsrevisionens opfølgning fra 2020.
Det fremgik af beretningen fra 2017, at Region Syddanmark ikke havde sikret, at kon-
ti med privilegerede rettigheder blev logget, når de startede programmer, så sporbar-
heden blev sikret. Derudover fremgik det af beretningen, at Region Midtjylland og Re-
gion Hovedstaden ikke opfyldte nogen af tiltagene i tilstrækkelig grad.
Vores opfølgning viser, at Region Syddanmark og Region Hovedstaden i 2020 begge
har sikret en tilstrækkelig logning af konto med privilegerede rettigheder. Region Midt-
jylland lever op til 2 ud af 3 tiltag.
Region Midtjylland har delvist sikret, at logfiler gennemgås regelmæssigt med henblik
på at opdage uautoriserede ændringer eller uhensigtsmæssigheder i it-miljøet. Regio-
nen foretager en løbende – men ikke systematisk – gennemgang af logfiler og anven-
der ikke alarmer. Region Midtjylland har oplyst, at regionen er ved at implementere
en løsning, der inden for et år forventes at rette op herpå. Regionen vil i den forbindel-
se løbende implementere systematisk indsamling og gennemgang af logfiler, alarmer
og kontroller og udvide brugen af loganalyserne.
Statsrevisorerne beretning SB4/2017 - Bilag 5: Rigsrevisionens fortsatte notat af 21. januar 2021
8
21. Rigsrevisionen finder det tilfredsstillende, at Region Syddanmark og Region Hoved-
staden opfylder alle 3 tiltag, og at Region Midtjylland opfylder 2 tiltag og arbejder på
at opfylde det tredje tiltag. Rigsrevisionen vil fortsat følge Region Midtjyllands arbejde
med at implementere det resterende tiltag.
Lone Strøm