Finansudvalget 2023-24
SB 4 6
Offentligt
2781545_0001.png
etning Nr. 4 Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
December 2023
Rigsrevisionens notat om
beretning om
3 regioners beskyttelse af
adgangen til it-systemer
og sundhedsdata
Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
2781545_0002.png
2.. 1.
Fortsat notat til Statsrevisorerne
1
Opfølgning i sagen om 3 regioners beskyttelse af adgan-
gen til it-systemer og sundhedsdata (beretning nr. 4/2017)
14. november 2023
RN 1412/23
I. Baggrund og konklusion
1. Rigsrevisionen følger i dette notat op på sagen om 3 regioners beskyttelse af adgan-
gen til it-systemer og sundhedsdata, som blev indledt med en beretning i 2017. Op-
følgningen sker med henblik på at vurdere, om Region Syddanmarks, Region Midtjyl-
lands og Region Hovedstadens initiativer adresserer den kritik, der fremgår af Stats-
revisorernes bemærkninger og Rigsrevisionens beretning. Vi har tidligere behandlet
sagen i notater til Statsrevisorerne af 4. april 2018 og 21. januar 2021.
2. Beretningen handlede om, hvad 3 regioner
Region Syddanmark, Region Midtjyl-
land og Region Hovedstaden
gør for at beskytte adgangen til it-systemer, der bl.a.
indeholder følsomme persondata om borgernes helbred. Regionerne skal sikre, at dis-
se data er fortrolige, men også at de er tilgængelige og pålidelige, så patienter kan få
den rette behandling til den rette tid.
3. Da Statsrevisorerne behandlede beretningen, fandt de, at de 3 regioners beskyt-
telse af adgangen til it-systemer og sundhedsdata ikke var tilfredsstillende.
4. Ved opfølgningen i 2021 fandt Rigsrevisionen, at de 3 regioner på forskellige områ-
der fortsat havde mangler vedrørende beskyttelse af adgangen til deres it-systemer
og sundhedsdata.
Sagsforløb for en større
undersøgelse
Beretning
Ministerredegørelse
§ 18, stk. 4-notat
Fortsat notat
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
Konklusion
Rigsrevisionen finder det tilfredsstillende, at de 3 regioner er nået i mål med hver deres
udestående tiltag fra beretningen vedrørende beskyttelse af adgangen til it-systemer og
sundhedsdata.
Region Syddanmark har sikret, at medarbejdere med privilegerede adgangsrettigheder
ikke kan tilgå internettet, når de er logget på med disse rettigheder. Region Midtjylland
har implementeret alarmer, der vedrører anvendelsen af Domain Admin-konti, med
henblik på at opdage uautoriserede ændringer eller uhensigtsmæssigheder i it-miljøet.
Region Hovedstaden har implementeret en regelmæssig kontrol af medarbejdere med
privilegerede adgangsrettigheder.
Rigsrevisionen vurderer på den baggrund, at sagen kan afsluttes.
Domain Admin-konti
It-medarbejderkonti, der er
medlem af ”Domain Admins-
gruppen” i
brugeradministra-
tionssystemet Active Direc-
tory. Disse konti har det høje-
ste niveau af rettigheder, ad-
gang og kontrol over institu-
tionens it-systemer og data.
Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
2781545_0003.png
2
II. Status på sagen
5. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på
følgende punkter:
Et opfølgningspunkt afsluttes,
når Statsrevisorerne på bag-
grund af indstilling fra Rigsre-
visionen vurderer, at myndig-
hedernes initiativer er tilfreds-
stillende.
Opfølgningspunkt
1.
De 3 regioners implementering af de tiltag, hvor
Rigsrevisionen påpegede mangler.
2. De 3 regioners arbejde med at nå i mål med hver
deres sidste udestående tiltag.
Status
19 af i alt 20 tiltag for hver region blev
afsluttet i forbindelse med notat til Stats-
revisorerne af 21. januar 2021.
Det sidste tiltag for hver region behand-
les og afsluttes i dette notat.
III. De 3 regioners initiativer
6. Vi gennemgår i det følgende Region Syddanmarks, Region Midtjyllands og Region
Hovedstadens initiativer i forhold til det udestående opfølgningspunkt.
7. Opfølgningen er baseret på virtuelle revisionsbesøg hos de 3 regioner i april-juni
2022 og april 2023. Derudover har vi gennemgået redegørelser og anden skriftlig do-
kumentation af regionernes tiltag, herunder udtræk af it-systemer og skærmdumps.
Region Syddanmarks styring af internetadgang for medarbejdere med
privilegerede adgangsrettigheder
Region Syddanmark har sikret, at medarbejdere med privilegerede rettigheder ikke
kan tilgå internettet, når de er logget på med disse rettigheder. Regionen har desuden
indført yderligere tiltag, der begrænser risiciene ved medarbejderkonti med privilege-
rede rettigheder. Dette finder Rigsrevisionen tilfredsstillende og vurderer derfor, at den-
ne del af sagen kan afsluttes.
8. Statsrevisorerne bemærkede bl.a., at der var utilstrækkelig begrænsning af mulig-
heder for at tilgå internettet, når der blev logget på med privilegerede rettigheder.
9. Rigsrevisionen vurderede i forbindelse med notatet af 21. januar 2021, at Region Syd-
danmark kun delvist havde adresseret denne mangel.
10. Vores opfølgning viser, at Region Syddanmark i 2022 har sikret, at medarbejdere
med privilegerede brugerrettigheder ikke kan tilgå internettet, når de er logget på med
disse rettigheder og er medlemmer af en særlig sikkerhedsgruppe. Hvis medarbejder-
ne melder sig ud af sikkerhedsgruppen, kan de tilgå internettet, men ved udmeldelse
sendes automatiske adviseringsmails om ændringen til alle i sikkerhedsgruppen. Des-
uden logger regionen ændringer i sikkerhedsgruppen, herunder ind- og udmeldelser.
Regionen har i juni 2022 også implementeret, at der 2 gange i løbet af døgnet foreta-
ges en automatisk genindmelding i sikkerhedsgruppen af alle medarbejdere med pri-
vilegerede brugerrettigheder, der har meldt sig ud. Herudover aktiveres en alarm, hvis
processen fejler. Som en ekstra sikkerhedsforanstaltning fører regionen halvårlig kon-
trol med, hvem der er medlem af sikkerhedsgruppen.
Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
3
Region Midtjyllands arbejde med at identificere sikkerhedshændelser
eller misbrug af privilegerede brugerrettigheder
Region Midtjylland har implementeret alarmer, der vedrører anvendelsen af Domain
Admin-konti, og som har til hensigt at opdage uautoriserede ændringer eller uhensigts-
mæssigheder i it-miljøet. Dette finder Rigsrevisionen tilfredsstillende og vurderer der-
for, at denne del af sagen kan afsluttes.
11. Statsrevisorerne bemærkede, at Region Midtjylland ikke havde implementeret no-
gen af de undersøgte logningstiltag, selv om regionen havde udarbejdet en politik for
området.
12. Rigsrevisionen vurderede i forbindelse med notatet af 21. januar 2021, at Region
Midtjylland kun delvist havde implementeret tiltag, som adresserede de påpegede
mangler. Regionen foretog løbende
men ikke systematisk
gennemgange af logfi-
ler. Regionen anvendte heller ikke alarmer med henblik på at opdage uautoriserede
ændringer eller uhensigtsmæssigheder i it-miljøet.
13. Vores opfølgning viser, at Region Midtjylland ikke gennemgår logfiler regelmæs-
sigt, men at regionen i stedet har implementeret alarmer, der vedrører anvendelsen
af Domain Admin-konti, i regionens SIEM-løsning. Alarmerne aktiveres ved specifik-
ke handlinger og har til hensigt at opdage uautoriserede ændringer eller uhensigts-
mæssigheder i it-miljøet. Regionen anser alarmer som en mere effektiv og systema-
tisk overvågning end gennemgang af logfiler. Hvis alarmerne bliver udløst, underret-
tes regionens 24/7-funktionspostkasse, og alarmerne visiteres og håndteres efter
den pågældende instruks.
14. Region Midtjylland oplyser, at regionen
ud over implementeringen af alarmer
har reduceret antallet af Domain Admin-konti til et minimum. Rigsrevisionen er enig i,
at et lavt antal Domain Admin-konti reducerer risikoen for uautoriseret anvendelse,
herunder uautoriserede ændringer og uhensigtsmæssigheder i it-miljøet.
15. Rigsrevisionen bemærker, at Region Midtjylland løbende bør foretage en risikoba-
seret vurdering af, om regionen har de fornødne og rigtige alarmer, herunder for Do-
main Admin-konti, for at sikre, at regionen opdager uautoriserede ændringer eller
uhensigtsmæssigheder. Regionen oplyser, at regionen løbende vil vurdere, om der
skal etableres yderligere overvågning af de relevante typer konti. Desuden oplyser re-
gionen, at regionen snarest muligt vil implementere yderligere 2 alarmer for Domain
Admin-konti.
SIEM-løsning
SIEM (Security Information
and Event Management) er en
løsning, der leverer overvåg-
ning, sporing og alarmering af
sikkerhedshændelser eller
hændelser inden for et it-miljø.
Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
2781545_0005.png
4
Region Hovedstadens kontrol af medarbejdere med privilegerede ad-
gangsrettigheder
Legacy-domæne
Et legacy-domæne er et æl-
dre domæne, som generelt ik-
ke bliver udviklet eller opdate-
ret. Legacy-domæner kan ud-
gøre en sikkerhedsrisiko, fx
på grund af forældede sikker-
hedsforanstaltninger eller
kendte sårbarheder.
Region Hovedstaden har implementeret en månedlig kontrol af medarbejdere med pri-
vilegerede adgangsrettigheder. Samtidig har regionen månedligt dokumenteret en ledel-
sesgodkendt vurdering af det konkrete arbejdsbetingede behov for privilegerede ad-
gangsrettigheder. Regionen har også afviklet 3 legacy-domæner, som tidligere ikke var
omfattet af regionens kontrol af privilegerede adgangsrettigheder. Dette finder Rigsre-
visionen tilfredsstillende og vurderer derfor, at denne del af sagen kan afsluttes.
16. Statsrevisorerne bemærkede bl.a., at styring og kontrol af medarbejdere med pri-
vilegerede rettigheder var mangelfuld i alle 3 regioner.
17. Rigsrevisionen vurderede i forbindelse med notatet af 21. januar 2021, at Region
Hovedstaden kun delvist havde adresseret manglerne vedrørende kontrol af medar-
bejdere med privilegerede brugerrettigheder.
18. Vores opfølgning viser, at Region Hovedstaden fra april 2022 har udarbejdet må-
nedlige ledelsesgodkendte kontroller af brugerrettigheder. Opfølgningen viser også,
at regionen fra maj 2022 har foretaget en dokumenteret og ledelsesgodkendt vurde-
ring af det konkrete arbejdsbetingede behov for privilegerede adgangsrettigheder,
herunder om det er nødvendigt med permanente eller midlertidige privilegerede ret-
tigheder. Opfølgningen viser desuden, at regionen har afviklet de 3 legacy-domæner,
som tidligere ikke var omfattet af regionens kontrol af privilegerede rettigheder.
19. Hele sagen kan følges på www.rigsrevisionen.dk og på www.ft.dk/Statsrevisorerne.
Birgitte Hansen