Rigsrevisors notater til Statsrevisorerne 2021 nr. 14: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af it-beredskabet i staten

Statsrevisorerne 2021
14
Offentligt

December 2021

Rigsrevisionens notat om

tilrettelæggelsen af en

større undersøgelse af

it-beredskabet i staten

Rigsrevisors notater til Statsrevisorerne 2021 nr. 14: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af it-beredskabet i staten

Tilrettelæggelsesnotat til Statsrevisorerne

Tilrettelæggelsen af en større undersøgelse af it-bered-

skabet i staten

26. november 2021

RN 1111/21

I. Indledning

1. Statsrevisorerne anmodede på deres møde den 15. oktober 2021 om en undersø-

gelse af it-beredskabet i staten, jf. rigsrevisorlovens § 8, stk. 1. Dette notat beskriver,

hvordan en eventuel større undersøgelse vil kunne tilrettelægges.

Undersøgelsen kan gennemføres, så Rigsrevisionen kan afgive en beretning til Stats-

revisorerne i 2. halvår 2022.

II. Baggrund

2. Størstedelen af offentlige myndigheder er afhængige af it-systemer for at kunne lø-

se deres opgaver. Større it-nedbrud og tab af data i myndighedernes kritiske kerneop-

gaver og underliggende it-systemer kan have store konsekvenser for staten, borgere

og virksomheder. Det er derfor afgørende, at myndighederne har et tilstrækkeligt it-

beredskab på plads. Beredskabet skal sikre, at myndighederne hurtigt kan håndtere

større it-nedbrud og datatab i it-systemerne og har planer for alternative forretnings-

processer og minimering af konsekvenserne, indtil man kan vende tilbage til normal

it-drift.

3. Staten har ifølge Digitaliseringsstyrelsen samlet set ca. 3.433 it-systemer. Ca. 590

af de 3.433 it-systemer er vurderet som kritiske for statens virke eller for samfundet

som helhed.

4. Offentlige myndigheder har siden 2016 skullet følge den internationale standard for

informationssikkerhed ISO 27001. Herunder er det konkretiseret, hvad myndigheder-

ne skal gøre i forhold til it-beredskabet.

5. Statsrevisorernes og Rigsrevisionens beretning nr. 20/2020 om Skatteministeriets

it-beredskab viste, at Skatteministeriets it-beredskab for kritiske forretningsproces-

ser var utilfredsstillende og utilstrækkeligt. Statsrevisorerne ønsker på den baggrund

en undersøgelse af, hvordan it-beredskabet i staten mere generelt er.

Rigsrevisors notater til Statsrevisorerne 2021 nr. 14: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af it-beredskabet i staten

6. Statsrevisorerne stillede følgende spørgsmål:

Har staten generelt implementeret et tilfredsstillende it-beredskab i overensstem-

melse med de internationale standarder for informationssikkerhed og it-bered-

skab? Hvem har tilsynsforpligtelsen hermed i de enkelte ministerier?

•

Har statens myndigheder generelt taget stilling til, hvordan de vil implementere sik-

kerhedsforanstaltningerne, så de passer til den enkelte myndigheds risici og kriti-

ske forretningsprocesser?

•

Er statens vejledninger om implementering af it-beredskab tilfredsstillende, og sik-

res deling af viden på tværs af ministerierne?

•

Hvilket tværministerielt it-beredskab kan sættes i værk, hvis flere af statens myn-

digheder rammes af it-sikkerhedshændelser på samme tid?

•

III. Tilrettelæggelsen af undersøgelsen

7. Vi forventer at udvælge et antal ministerier til at indgå i undersøgelsen, hvor vi vil un-

dersøge it-beredskabet for udvalgte it-systemer. Vi vil udvælge ministerierne blandt

de ministerområder, som har de mest kritiske it-systemer. Det kan fx være it-syste-

mer, som håndterer store pengestrømme, it-systemer, som er centrale for ministeriets

opgavevaretagelse, eller it-systemer, som understøtter samfundskritiske opgaver.

Vi vil derudover undersøge it-beredskabet i Statens It, som leverer it-ydelser til ca.

31.000 medarbejdere i staten og til 19 ministerområder. Statens It leverer bl.a. en it-ar-

bejdsplads til statens medarbejdere, herunder hardware som computere og software,

fx brugeradgangssystemer og Microsoft Office. Derudover drifter Statens It også nog-

le af de statslige institutioners it-fagsystemer. It-nedbrud eller datatab i it-systemerne

i Statens It vil derfor påvirke mange af statens institutioner.

8. Rigsrevisionen forventer at opdele undersøgelsen i 3 dele.

I den

første del

af undersøgelsen vil vi undersøge, om de udvalgte institutioner har et

tilfredsstillende grundlag for at etablere et dækkende it-beredskab. Her vil vi undersø-

ge, om ministerierne har taget stilling til, hvordan de vil implementere ISO 27001-stan-

darden.

Vi vil også undersøge, om ministerierne har kortlagt, hvilke it-systemer der er kritiske

for ministeriets kerneopgaver, og om ministerierne har et overblik over det eksisteren-

de it-beredskab. Derudover vil vi undersøge, om ministerierne anvender risiko- og kon-

sekvensvurderinger til at tilrettelægge it-beredskabet.

Vi vil endvidere undersøge, hvordan arbejdet med at sikre implementeringen af et

dækkende it-beredskab sker på ministerområderne. Herunder vil vi undersøge, om

ministerierne fører tilsyn med, om ministeriernes institutioner har implementeret in-

formationssikkerhed, herunder et tilfredsstillende it-beredskab.

Rigsrevisors notater til Statsrevisorerne 2021 nr. 14: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af it-beredskabet i staten

9. I den

anden del

af undersøgelsen vil vi undersøge, om de udvalgte institutioner har

udarbejdet it-beredskabsplaner for den interne krisehåndtering i institutionen, og om

institutionerne har sikret, at der er udarbejdet tekniske planer for at reetablere it-sy-

stemerne efter et større nedbrud. Her vil vi undersøge, om it-beredskabsplanerne in-

deholder de mest centrale elementer, fx om planen beskriver, hvordan den aktiveres,

om planen indeholder kontaktinformationer til centrale aktører, og om planen beskri-

ver rolle- og ansvarsfordelingen mellem aktørerne. Vi vil også undersøge, om it-bered-

skabsplanerne er blevet testet årligt, og om testene indeholder de mest centrale ele-

menter, fx om funktionaliteten af it-systemet er testet, og om reetableringen af it-sy-

stemet sker inden for den aftalte tidsperiode.

10. I den

tredje del

af undersøgelsen vil vi undersøge, om Digitaliseringsstyrelsen på

tilfredsstillende vis har understøttet statens institutioner i at etablere et dækkende it-

beredskab.

Digitaliseringsstyrelsen har en koordinerende rolle i forhold til at gennemføre informa-

tionssikkerhedsaktiviteter, udarbejde analyser og udvikle forskellige former for vejled-

ningsmaterialer og hjælpeværktøjer om informationssikkerhed til den offentlige sek-

tor. Styrelsen skal herunder understøtte myndighedernes implementering af it-bered-

skabet, bl.a. gennem vejledninger og kampagner. På hjemmesiden sikkerdigital.dk vej-

leder Digitaliseringsstyrelsen offentlige myndigheder og borgere om it-sikkerhed.

For det første vil vi om muligt undersøge, om Digitaliseringsstyrelsens vejledninger om

implementering af it-beredskabet er tilfredsstillende. Her vil vi undersøge, om vejled-

ningerne indeholder konkrete og relevante emner og anbefalinger, der kan understøt-

te ministeriernes arbejde med at implementere et dækkende it-beredskab. Det kan

fx være vejledning om risikovurderinger, leverandørstyring, udarbejdelse af it-bered-

skabsplaner og kommunikation. Vi vil også undersøge, om Digitaliseringsstyrelsen har

sikret, at vejledningsmaterialet er anvendeligt for brugerne.

For det andet vil vi undersøge, om Digitaliseringsstyrelsen har understøttet vidende-

ling om it-beredskabet på tværs af statens institutioner.

Digitaliseringsstyrelsen driver forskellige råd og fora, der skal styrke koordinering, vi-

dendeling og håndtering af informationssikkerhedshændelser på tværs af de offent-

lige myndigheder og den private sektor. Fx driver Digitaliseringsstyrelsen

Statens net-

værk for informationssikkerhed,

hvor der deltager personer, som arbejder med infor-

mationssikkerhed på ministerområderne. Netværket skal understøtte videndeling og

erfaringsudveksling inden for den praktiske håndtering af relevante emner inden for

it-sikkerhed.

11. Vi vil i undersøgelsen afdække, om der er etableret et overordnet og tværgående

beredskab, som kan sættes i værk ved fx større cyberangreb rettet mod samfunds-

kritiske områder, som påvirker hele staten.

Vi vil undersøge, om der er udarbejdet overordnede beredskabsplaner, som kan an-

vendes i forbindelse med et større tværgående it-nedbrud eller cyberangreb i staten.

Vi vil også undersøge, om der er udført tests eller øvelser af beredskabsplanerne.

Rigsrevisors notater til Statsrevisorerne 2021 nr. 14: Rigsrevisionens notat om tilrettelæggelsen af en større undersøgelse af it-beredskabet i staten

12. Undersøgelsen er afgrænset til at afdække statens it-beredskab og inddrager der-

med ikke regionernes it-beredskab, fx på hospitaler. Endvidere afgrænser vi os fra at

se på forsyningssektoren, fx forsyning af el og gas, som har en særskilt lovgivning ved-

rørende it-beredskab. Undersøgelsen har derimod fokus på de statslige myndigheders

implementering af ISO 27001-standarden, som alle offentlige myndigheder er forplig-

tede til at implementere.

13. Rigsrevisionen skal for god ordens skyld understrege, at der undervejs vil kunne

ske ændringer i forhold til det skitserede oplæg.

Lone Strøm