Beretning om beskyttelse mod ransomwareangreb

21-02-2018

Beretning nr. 11/2017

Beretningen handler om 4 samfundsvigtige, statslige institutioners beskyttelse mod ransomwareangreb. Undersøgelsen omfatter Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen. De 4 institutioner er udvalgt, fordi de varetager samfundsvigtige opgaver inden for sundhed, udenrigsforhold, transport og beredskab, og manglende adgang til data derfor kan være kritisk.

Formålet med undersøgelsen er at vurdere, om de 4 institutioner har en tilfredsstillende beskyttelse mod ransomwareangreb, som kommer ind via e-mails.

Rigsrevisionen vurderer, at de 4 institutioner ikke har en tilfredsstillende beskyttelse mod ransomwareangreb. Undersøgelsen viser, at alle institutionerne mangler at opfylde flere almindelige tiltag, som beskytter mod ransomware. Det betyder, at der for alle institutionerne er en øget risiko for, at ransomware via e-mails kan kryptere institutionernes data, så de ikke kan varetage deres opgaver i en kortere eller længere periode.

Rigsrevisionen har selv taget initiativ til undersøgelsen, der bygger på it-revisioner, som Rigsrevisionen har udført i perioden april-september 2017. Undersøgelsen tegner et øjebliksbillede af institutionernes beskyttelse mod ransomwareangreb.

Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 21. februar 2018 behandlede Statsrevisorerne

Beretning nr. 11/2017 om beskyttelse mod ransomwareangreb

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Cyberangreb mod statslige institutioner – og særligt truslen fra såkaldte ransomwareangreb – er meget aktuel. Ransomware er skadelige programmer, der forhindrer adgang til data, bl.a. ved, at data bliver krypteret, så den ramte institution ikke kan anvende dem. Manglende tilgængelighed af data kan forhindre eller besværliggøre varetagelsen af vigtige samfundsmæssige funktioner. Fx måtte det britiske sundhedsvæsen i 2017 aflyse operationer af eller konsultationer med ca. 19.000 patienter som følge af et ransomwareangreb. 

Beretningen handler om Sundhedsdatastyrelsens, Udenrigsministeriets, Banedanmarks og Beredskabsstyrelsens beskyttelse mod ransomwareangreb. Rigsrevisionen har undersøgt, om de 4 institutioner opfylder 20 almindelige tiltag, som reducerer risikoen for, at ransomware kommer ind i institutionerne via e-mails. 

Statsrevisorerne finder, at Sundhedsdatastyrelsens, Udenrigsministeriets, Banedanmarks og Beredskabsstyrelsens beskyttelse mod ransomwareangreb ikke er tilfredsstillende. Hermed er der øget risiko for, at ransomware via e-mails kan forhindre adgang til institutionernes data, så de ikke kan varetage deres opgaver i kortere eller længere perioder.  

Statsrevisorerne gør opmærksom på, at beskyttelse mod ransomwareangreb er en vigtig opgave for alle offentlige institutioner. Beretningen angiver en række tiltag, som alle institutioner kan iværksætte for at reducere risikoen for ransomware.  

Statsrevisorerne bemærker: 

  • at forebyggelsen af ransomwareangreb ikke er tilstrækkelig, og at ingen af institutionerne fuldt ud har sikret, at alle deres programmer har de nyeste sikkerhedsopdateringer
  • at ledelsen i Sundhedsdatastyrelsen og i Banedanmark ikke har dækkende risikovurderinger for truslen fra ransomwareangreb
  • at Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen ikke har reaktive tiltag, der kan sikre, at institutionerne kan genetablere normal drift, efter de er blevet ramt af ransomwareangreb. 

Statsrevisorerne finder det tilfredsstillende, at alle 4 institutioner de seneste 12 måneder har implementeret tiltag, som kan øge deres beskyttelse mod ransomwareangreb."

Rigsrevisionens notat af 1. juni 2018

Rigsrevisionen følger i dette notat op på beretning nr. 11/2017 om beskyttelse mod ransomwareangreb.

Notatet er baseret på redegørelser fra udenrigsministeren, forsvarsministeren, sundhedsministeren og transport-, bygnings- og boligministeren og handler om de tiltag, som ministrene planlægger at iværksætte som følge af beretningen. 

Rigsrevisionen vil fortsat følge institutionernes implementering af de tiltag, hvor Rigsrevisionen påpegede mang­ler.

Hele notatet (PDF)

Rigsrevisionens notat af 25. januar 2021

Rigsrevisionen følger i dette notat op på beretning nr. 11/2017 om beskyttelse mod ransomwareangreb. 

Der er i notatet fulgt op på institutionernes implementering af de tiltag, hvor Rigsrevisionen påpegede mangler. 

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Sundhedsdatastyrelsens og Banedanmarks arbejde med at sikre, at institutionerne opfylder de ufravigelige krav til it-sikkerhed
  • Udenrigsministeriets arbejde med at implementere de mitigerende foranstaltninger, og at ministeriet kan dokumentere, at de mitigerende foranstaltninger kan kompensere for manglende implementering af de ufravigelige krav til it-sikkerheden
  • Sundhedsdatastyrelsens, Udenrigsministeriets, Banedanmarks og Beredskabsstyrelsens arbejde med at sikre, at de opfylder de resterende tiltag.

Hele notatet (PDF)

Rigsrevisionens notat af 27. maj 2024

Rigsrevisionen følger i dette notat op på beretning nr. 11/2017 om beskyttelse mod ransomwareangreb. 

Beretningen vedrører Banedanmark, Beredskabsstyrelsen, Sundhedsdatastyrelsen og Udenrigsministeriet. 

Der er i notatet fulgt op på følgende område: 

  • institutionernes implementering af de tiltag, hvor Rigsrevisionen påpegede mangler. 

Rigsrevisionen finder det meget utilfredsstillende, at alle 4 institutioner fortsat mangler at implementere tiltag til beskyttelse mod ransomwareangreb 6 år efter, at sårbarheden blev påpeget i beretningen. For Banedanmark og Udenrigsministeriet vedrører det bl.a. tekniske minimumskrav for statslige myndigheder, der er ufravigelige.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • institutionernes implementering af de tiltag, hvor Rigsrevisionen påpegede mangler.

Hele notatet (PDF)

Statsrevisorernes bemærkning til Endelig betænkning af 10. juni 2024

Beretning nr. 11/2017 om beskyttelse mod ransomwareangreb

Sagen optages i Endelig betænkning 2023 som fortsat sag med følgende statsrevisorbemærkning:

"Statsrevisorerne finder det kritisabelt, at Banedanmark, Beredskabsstyrelsen, Sundhedsdatastyrelsen og Udenrigsministeriet fortsat ikke har implementeret alle tiltagene til beskyttelse mod ransomwareangreb 6 år efter, at sårbarheden i institutionernes it-sikkerhed blev påpeget. 

Statsrevisorerne finder det særligt kritisabelt, at Banedanmark og Udenrigsministeriet fortsat mangler at implementere ufravigelige tekniske minimumskrav. 

Statsrevisorerne skal på det kraftigste opfordre til, at Banedanmark, Beredskabsstyrelsen, Sundhedsdatastyrelsen og Udenrigsministeriet implementerer tiltagene til beskyttelse mod ransomwareangreb. 

Statsrevisorerne skal på baggrund af sagen anmode digitaliseringsministeren om en skriftlig redegørelse om fremdriften i implementeringen af tiltagene til beskyttelse mod ransomwareangreb i Banedanmark, Beredskabsstyrelsen, Sundhedsdatastyrelsen og Udenrigsministeriet."

Beretningshistorik