Beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver

07-10-2015

Beretning nr. 1/2015

Beretningen handler om, hvad 6 statslige institutioner gør for at beskytte adgangen til it-systemer og data, som understøtter samfundsvigtige opgaver, via de såkaldte udvidede administratorrettigheder.  

It-systemer, der understøtter samfundsvigtige opgaver kan – ligesom andre it-systemer – tilgås med udvidede administratorrettigheder. Disse rettigheder giver det højeste niveau af rettigheder, adgang og kontrol over institutionernes it-systemer og data, som styres i brugeradministrationssystemet Active Directory (AD). Desuden kan rettighederne give mulighed for at omgå institutionernes sikkerhedsforanstaltninger. I nogle tilfælde kan de udvidede administratorrettigheder – afhængigt af institutionens systemopbygning – også give adgang til andre væsentlige it-systemer og data, der ikke styres i AD. 

Formålet med undersøgelsen er at vurdere, om institutionerne følger anbefalinger om god it-sikkerhedspraksis for at beskytte adgangen til it-systemer og data, som understøtter samfundsvigtige opgaver. Vi har derfor undersøgt, hvordan institutionerne styrer og kontrollerer de udvidede administratorrettigheder, herunder hvordan institutionerne sikrer logning af anvendelsen af udvidede administratorrettigheder. 

Rigsrevisionen har selv taget initiativ til undersøgelsen, der er baseret på it-revisioner, som Rigsrevisionen har udført i første halvdel af 2015.

Statsrevisorernes bemærkning til beretningen

Den 7. oktober 2015 behandlede Statsrevisorerne

Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Alle it-systemer kan tilgås med udvidede administratorrettigheder, som betegner det højeste niveau af rettigheder, adgang og kontrol over it-systemer og data. Mangelfuld styring og kontrol af de udvidede administratorrettigheder betyder, at personer uretmæssigt kan få adgang til statslige institutioners it-systemer og data. Det medfører ri­siko for spionage og øget trussel fra kriminelle eller politisk motiverede hackere eller fra ansatte, der ubevidst eller bevidst bryder sikkerheden. Konsekvensen kan fx væ­re tyveri af data eller infektion med skadelig software.

I beretningen har Rigsrevisionen opstillet 16 kriterier til, hvordan de udvidede administratorrettigheder, der giver adgang til statslige it-systemer, bør håndteres. På baggrund af disse kriterier er det undersøgt, hvordan 6 institutioner med samfundsvigti­ge opgaver styrer, kontrollerer og logger de udvidede administratorrettigheder. De 6 institutioner er Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT.

Statsrevisorerne finder det kritisabelt og foruroligende, at en række samfundsvigtige opgaver er udsat for alvorlige it-sikkerhedsmæssige risici, der kan true opgavernes løsning og kompromittere fortrolige data.

Statsrevisorerne fremhæver, at ingen af de 6 undersøgte institutioner har håndteret de udvidede administratorrettigheder med den nødvendige professionalisme. Institutionerne har derfor ikke efterlevet en række anerkendte anbefalinger om god it-sikkerhedspraksis til beskyttelse af adgangen til it-systemer og data.

Statsrevisorerne finder det tilfredsstillende, at institutionerne har oplyst, at de har gennemført kompenserende foranstaltninger og er i færd med at planlægge, igangsætte og gennemføre tiltag, der skal rette op på de konstaterede mangler."

Rigsrevisionens notat af 11. februar 2016

Rigsrevisionen følger i dette notat op på beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver.

Notatet er baseret på redegørelser fra finansministeren, energi-, forsynings- og klimaministeren, justitsministeren, transport- og bygningsministeren og sundheds- og ældreministeren. 

Notatet handler om de initiativer, som ministrene har oplyst, at institutionerne har planlagt, igangsat og gennemført for at rette op på de konstaterede mangler. Rigsrevisionen finder det tilfredsstillende, at institutionerne vil rette op på de konstaterede mangler, og vurderer derfor, at beretningssagen kan lukkes. 

Rigsrevisionen vil dog som led i it-revisionen fortsat følge, at initiativerne bliver gennemført og fungerer i praksis samt følge op på beretningens anbefalinger. Hvis Rigsrevisionen ikke finder initiativerne tilstrækkelige, vil Rigsrevisionen orientere Statsrevisorerne herom i beretning om revisionen af statsregnskabet. 

Hele notatet (PDF)

Statsrevisorernes bemærkning til Endelig betænkning af 24. februar 2016

Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver

Sagen optages i Endelig betænkning 2015 som afsluttet sag med følgende statsrevisorbemærkning:

"Statsrevisorerne finder det tilfredsstillende, at alle de berørte ministre og institutioner har anerkendt alvoren i de problemstillinger vedrørende it-sikkerhed, som beretningen har påpeget.  

Institutionerne har hurtigt rettet op på de konstaterede mangler i forhold til de udvidede administratorrettigheder til it-systemer og data, der understøtter samfundsvigtige opgaver.  

Statsrevisorerne afslutter beretningssagen, idet Rigsrevisionen som led i it-revisionen fortsat vil følge op på, hvordan initiativerne bliver gennemført og virker i praksis. Statsrevisorerne skal pege på muligheden for læring i denne beretning og vigtigheden af, at ledelsen jævnligt tager stilling til, om forvaltningen af de udvidede administratorrettigheder er tilstrækkelig sikker."

Statsrevisorerne, den 24. februar 2016

Beretningshistorik