Beretning om forebyggelse af hackerangreb

09-10-2013
Beretning Ministerredegørelse Notat

Beretning nr. 3/2013

Beretningen handler om forebyggelse af hackerangreb. Den stigende digitalisering af den statslige forvaltning øger behovet for, at statslige virksomheder beskytter sig mod, at hackere misbruger it-systemer og fortrolige data. Behovet tydeliggøres af, at der i de senere år har været angreb på flere statslige virksomheder.

Formålet med undersøgelsen er at vurdere, om de undersøgte statslige virksomheder har håndteret risikoen for hackerangreb. Rigsrevisionen har i den forbindelse undersøgt, om virksomhederne har implementeret følgende 3 aktuelle og væsentlige sikringstiltag og i sin risikovurdering har beskrevet et eventuelt fravalg af sikringstiltagene:

  • teknisk begrænsning af download af programmer fra internettet
  • begrænsning af brugen af lokaladministratorer
  • systematisk sikkerhedsopdatering af programmer.

Rigsrevisionen har desuden undersøgt, om Statens It har håndteret risikoen for, at et hackerangreb på én virksomhed med utilstrækkelige sikringstiltag kan sprede sig til andre virksomheder, der er tilsluttet driftscentret, og om opgavesplittet vedrørende de 3 undersøgte sikringstiltag er klart beskrevet i standardkundeaftalen mellem Statens It og virksomhederne.

Undersøgelsen baserer sig på it-revisioner udført som led i årsrevisionen i foråret 2013 og er igangsat på eget initiativ.

Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 9. oktober 2013 behandlede Statsrevisorerne

Beretning nr. 3/2013 om forebyggelse af hackerangreb

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Statslige virksomheder opbevarer store mængder fortrolige digitale data og er ansvarlige for at beskytte disse oplysninger. Det drejer sig bl.a. om kommercielt fortrolige og personfølsomme data. Disse data skal opbevares sikkert, og der bør etableres tekni­ske sikringstiltag, som kan styrke sikkerheden, forebygge hackerangreb og mindske risikoen for misbrug af it-systemer og fortrolige data. 

Behovet for beskyttelse mod hackerangreb understreges af, at der i de senere år har været flere hackerangreb på statslige virksomheders it-systemer.

Statsrevisorerne finder det foruroligende, at der i de undersøgte statslige virk­somheder har været utilstrækkelig sikring mod hackerangreb og utilstrækkelig beskyttelse af it-systemer og fortrolige digitale data.

Statsrevisorerne finder det utilfredsstillende:

  • at ledelsen i de undersøgte virksomheder i Finansministeriet og Klima-, Energi- og Bygningsministeriet ikke har foretaget tilstrækkelige risikovurderinger
  • at der på undersøgelsestidspunktet var en unødig stor risiko for hackerangreb, som kunne føre til misbrug af it-systemer og fortrolige data i Finansministeriet og Klima-, Energi- og Bygningsministeriet
  • at Statens It – der er it-driftsleverandør for ca. 80 statslige virksomheder – ikke i tilstrækkelig grad har undersøgt, om et hackerangreb mod en virksomhed med utilstrækkelige sikringstiltag kunne sprede sig til andre statslige virksomheder."

Rigsrevisionens notat af 22. januar 2014

Rigsrevisionen følger i dette notat op på beretning nr. 3/2013 om forebyggelse af hackerangreb. Notatet er baseret på redegørelser fra klima-, energi- og bygningsministeren og finansministeren og handler om de initiativer, som ministrene har iværksat som følge af beretningen.

Rigsrevisionen finder Klima-, Energi- og Bygningsministeriets initiativer om at styrke sine virksomheders risikovurderinger tilfredsstillende. Rigsrevisionen finder ligeledes Finansministeriets initiativer tilfredsstillende. Finansministeriet har i samarbejde med Center for Cybersikkerhed udarbejdet vejledning til sikringstiltag mod hackerangreb og er ved at indføre en såkaldt standardiseret pc-arbejdsplads (SIA). Endvidere arbejder Finansministeriet på dels at forbedre kundeaftalen mellem Statens It og virksomhederne, dels at separere netværk for at hindre spredning af hackerangreb mellem virksomhederne.

På den baggrund vurderer Rigsrevisionen, at beretningssagen kan afsluttes, idet Rigsrevisionen dog i årsrevisionens it-revision bl.a. vil følge de tværgående initiativer, som berører de virksomheder, der er tilsluttet Statens It.

Hele notatet (PDF)

Beretningshistorik