ITWatch

Alvorlige mangler i it-sikkerheden hos Rigspolitiet og Banedanmark

Rigsrevisionen langer ud efter it-sikkerheden hos Rigspolitiet. En række alvorlige mangler i it-sikkerheden kan i værste fald betyde, at kritisk it-infrastruktur svigter. Hos Banedanmark er der risiko for, at hackere kan tilgå kritisk data, fastslår ny beretning.

Henning Bagger/Ritzau Scanpix
Foto: Henning Bagger/Ritzau Scanpix

It-sikkerheden hos Rigspolitiet er utilstrækkelig. Det konkluderer Rigsrevisionen i en beretning til Folketinget.

"Rigspolitiets Koncern IT har kritiske mangler i it-sikkerheden, som blandt andet omfatter it-infrastruktur," lyder det i beretningen om statens forvaltning sidste år.

Udover problematisk forhold i it-infrastrukturen peger Rigsrevisionen på, at der er mangler i de fysiske sikkerhedsforanstaltninger. De skal sikre, at serverrummene hos Rigspolitiets Koncern IT er i stand til at modstå ekstrem regn og varme.

"Rigsrevisionen finder, at Rigspolitiet skal sikre, at risikoen for de aktuelle sårbarheder reduceres snarest," står der i beretningen.

Ikke første gang

Det er ikke første gang, at rigsrevisionen kritiserer it-sikkerheden. I 2014 blev it-sikkerheden hos Rigspolitiets Koncern IT karakteriseret som utilstrækkelig.

Det drejede sig blandt andet om antallet af medarbejdere med administratorrettigheder samt mangelfuld overvågningen og logningen af it-infrastrukturen.

Hovedparten af sårbarhederne er siden blevet forbedret, men seneste gennemgang har afsløret nye problemer, fastslår Rigsrevisionen.

Manglerne kan for eksempel i værste fald betyde, at politiets kritiske it-infrastruktur svigter, og at det vil tage uacceptabelt lang tid at genetablere driften.

Beretning fra Rigsrevisionen

"Vores seneste revision har dog også vist en række nye alvorlige mangler i it-sikkerheden omkring nogle af Rigspolitiets kritiske systemer. Manglerne kan for eksempel i værste fald betyde, at politiets kritiske it-infrastruktur svigter, og at det vil tage uacceptabelt lang tid at genetablere driften."

Konsekvensen af et svigt i den kritiske it-infrastruktur vil kunne ramme politiets alarmberedskab og mulighed for at slå op i registre i forbindelse med efterforskning. Dermed kan det gå udover politiets evne til at varetage sine opgaver, skriver Rigsrevisionen.

Fremadrettet skal en handleplan og kvartalsvise afrapporteringer til Rigspolitiets ledelse rette op på manglerne.

Alvorlige mangler flere steder

Rigspolitiet er ikke den eneste offentlige myndighed, som modtager kritik fra Rigsrevisionen. Det samme har Sundhedsdatastyrelsen og Banedanmark. Fælles for de tre myndigheder er alvorlige mangler i it-sikkerheden.

"Manglerne omtales kun på et overordnet niveau, da de kan udgøre en it-sikkerhedsrisiko, indtil virksomhederne har forbedret sikkerheden," skriver Rigsrevisionen.

Som ITWatch beskrev mandag betyder mangel på tidssvarende netværksstandarder hos Sundhedsdatastyrelsen, at it-sikkerheden halter i it-infrastrukturen, der understøtter vigtige fagsystemer, som Sundhedsdatastyrelsen drifter hos primært Statens Serum Institut.

Myndigheden tager kritikken alvorligt, lød det fra vicedirektør Flemming Christiansen, som samtidig fastslog, at Sundhedsdatastyrelsen forventer, at opgraderingen af netværkskablerne vil være afsluttet i begyndelsen af 2020.

Hackere kan få adgang

Hos Banedanmark, der hører under Transport-, Bygnings- og Boligministeriet, har Rigsrevisionen tidligere fundet svagheder i it-sikkerheden, når det kommer til styring, kontrol og logning af de udvidede administratorrettigheder.

Den seneste revision viser, at sikkerheden ikke er blevet udbedret, og det vækker kritik fra Rigsrevisionen.

Vores opfølgning har vist, at Banedanmark ikke har forbedret it-sikkerheden på hovedparten af de undersøgte områder. På nogle punkter er it-sikkerheden forringet, for eksempel i forhold til logning.

Beretning fra Rigsrevisionen

"Vores opfølgning har vist, at Banedanmark ikke har forbedret it-sikkerheden på hovedparten af de undersøgte områder. På nogle punkter er it-sikkerheden forringet, for eksempel i forhold til logning."

"Det finder Rigsrevisionen kritisabelt og finder det påkrævet, at Banedanmark snarest forbedrer it-sikkerheden," fremgår det af beretningen.

Den konstaterer, at Banedanmark har en mangelfuld styring, kontrol og logning af udvidede administratorrettigheder. Som en konsekvens er der risiko for misbrug af rettighederne og uretmæssig adgang til Banedanmarks systemer og data.

Manglerne i it-sikkerheden betyder, at der er "risiko for, at hackere kan overtage og udnytte administratorernes udvidede rettigheder til at komme videre ind i netværk og systemer og tilgå kritiske data."

Ifølge Banedanmark skal en række planlagte og igangsatte tiltag for at rette op på flere af de konstaterede svagheder, skriver Rigsrevisionen.

Rigsrevisionen kritiserer it-sikkerhed hos sundhedsmyndighed

Rigspolitichef: Hver en sten skal vendes i sag om teledata

Rigspolitiet skifter ud i ledelse efter ny udvikling i telesag

"Teleselskaberne er ikke sat i verden for at konstruere et skudsikkert overvågningssystem af danskerne"

Relaterede

ITWatch trial banner 14 dage.jpg

Seneste nyt

Se alle ledige stillinger