Beretning om it-sikkerheden på Statens It’s servere

04-12-2023
Beretning Ministerredegørelse Notat

Beretning nr. 6/2023

Beretningen handler om it-sikkerheden på Statens It’s servere. 

Formålet med undersøgelsen er at vurdere, om Statens It under Finansministeriet har sikret, at Statens It’s servere kan sikkerhedsopdateres, så følsomme personoplysninger og forretningskritiske data ikke udsættes for en unødig risiko for kompromittering. Rigsrevisionen besvarer følgende spørgsmål i beretningen: 

  • Har Statens It opgraderet eller nedlagt servere for de 46 myndigheder, der indgår i undersøgelsen, inden leverandøren er ophørt med at udvikle sikkerhedsopdateringer?
  • Har Statens It gennemført kompenserende foranstaltninger for servere, der ikke længere kan sikkerhedsopdateres?
  • Har Statens It etableret procedurer, der sikrer, at de løbende og rettidigt kan opgradere eller nedlægge servere, der ikke længere kan sikkerhedsopdateres? 

Rigsrevisionen vurderer, at Statens It under Finansministeriet ikke har sikret, at alle Statens It’s servere kan sikkerhedsopdateres. Det skyldes dels, at Statens It ikke har opgraderet eller nedlagt servere, der ikke længere kan sikkerhedsopdateres, dels at de har et ufuldstændigt overblik over myndighedernes servere. Dette finder Rigsrevisionen utilfredsstillende. Konsekvensen er, at der er risiko for, at hackere kan få adgang til følsomme personoplysninger og forretningskritiske data, og at disse oplysninger og data kan blive misbrugt eller ødelagt. 

Rigsrevisionen har selv taget initiativ til undersøgelsen i marts 2023.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 4. december 2023 behandlede Statsrevisorerne

Beretning nr. 6/2023 om it-sikkerheden på Statens It’s servere

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vurderer, at truslen i Danmark fra cyberkriminalitet og cyberspionage er meget høj, og at truslen fra cyberaktivisme er høj. 

Statens It har ansvaret for it-driften og it-sikkerheden for 151 myndigheder på tværs af 21 mini­ster­områ­der. Statens It er ansvarlig for, at Statens It’s servere løbende sik­kerhedsopdateres, og at servere opgra­de­res, når serverens levetid er udløbet, så følsomme personoplysninger og forretningskri­tiske data ikke udsættes for en unødig risiko for kom­pro­­mit­te­ring. 

Statsrevisorerne finder det utilfredsstillende, at Statens It ikke har sik­ret, at alle Statens It’s servere kan sikkerhedsopdateres. Statens It har ikke opgraderet eller nedlagt servere, i takt med at serverne ikke længere kan sikkerhedsopdateres, og Statens It har ikke et fuldt overblik over de ser­vere, de er an­svar­­li­ge for. Dette gør, at Statens It har dårli­gere forudsætnin­ger for at reagere hurtigt på cyberangreb og nye cybertrusler. 

Statsrevisorerne finder det bekymrende, at Statens It’s utilstræk­ke­li­ge sikkerhedsopdateringer og utilstrækkelige kompen­serende foranstaltninger indebærer risiko for, at bor­geres og virksom­hed­­ers personoplysnin­ger og forretningskritis­ke data kan blive mis­­brugt eller ødelagt. Statsrevisorerne finder det også bekymren­de, at borgeres og virksomheders tilli­d til offentlige myn­digheder kan blive svækk­et som følge deraf.

Statsrevisorerne har bl.a. hæftet sig ved disse undersøgelsesresul­ta­ter: 

  • 537 servere hos Statens It kan ikke længere sikkerhedsopdateres, da servernes levetid er udløbet. Dette svarer til ca. 10 % af de i alt 5.353 undersøg­te servere, som Statens It varetager driften af på vegne af 46 myn­dig­he­der.
  • Den fortsatte brug af servere, der ikke længere kan sikkerhedsop­da­te­res, gør, at der er risiko for, at et cyberangreb kan sprede sig mel­lem servere og mellem myndigheder, da sårbarheder hos én myndig­hed kan ud­sæt­­te andre myndigheder for it-sikkerhedsmæssige risici.
  • For 178 servere mangler Statens It viden om servernes type, hvilket bevirker, at Statens It ikke efterlever kravene i ISO 27001 angående fuldstæn­digt overblik over serverporteføljen.
  • Statens It har ikke procedurer, der sikrer, at de løbende og rettid­igt kan opgradere eller nedlægge servere, der ikke længere kan sik­ker­­heds­opdateres. Samtidig har Statens It ikke etableret det for­nød­ne samarbejde med myndighederne til, at serverne kan opgrade­res eller nedlægges, hvis serverne ikke længere kan sikkerhedsop­date­res. Sta­tens It er bl.a. udfordret af, at serverne ikke altid kan opgraderes el­ler nedlægges, fordi de enkelte myndigheder ikke har sikret, at deres fagsystemer er kompatible med nye servere.
  • Statens It estimerede i marts 2022, at ca. 26 % af deres egne servere ikke kunne sikkerhedsopdateres. 

Statsrevisorerne er enige i Rigsrevisionens anbefaling om, at Finansmini­ste­riet bør overveje, om arbejds- og ansvarsfordelingen mellem myn­dighederne og Statens It i forhold til servere er hensigtsmæssig."

Rigsrevisionens notat af 4. marts 2024

Rigsrevisionen følger i dette notat op på beretning nr. 6/2023 om it-sikkerheden på Statens It’s servere. 

Notatet er baseret på en redegørelse fra finansministeren og handler om de initiativer, som ministeren har iværksat som følge af beretningen. 

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: 

  • Statens It’s opfølgning på myndighedernes handlingsplaner for de it-systemer, der ikke kan afvikles på opdaterede servere, herunder etablering af en fast systematik for opfølgning
  • Statens It’s arbejde med at højne datakvaliteten vedrørende serveres opdateringstilstand
  • Statens It’s arbejde med at implementere kompenserende foranstaltninger for servere, der ikke kan opdateres
  • Statens It’s gennemførelse af et projekt, der skal reducere risikoen for spredning af cyberangreb
  • Statens It’s arbejde med at nedlægge eller opdatere egne servere, der ikke længere kan sikkerhedsopdateres. 

Hele notatet (PDF)

Beretningshistorik