Læringspunkter fra beretninger om it-sikkerhed

Myndighederne skal ifølge ISO 27001 planlægge it-beredskabet ved at vurdere sårbarhed, trusler, konsekvenser og sandsynlighed for it-nedbrud. Det skal munde ud i en risikovurdering, der er udgangspunktet for en målrettet reetableringsplan.

Vores beretninger om it-beredskab har bl.a. vist: 

• At myndigheder enten ikke har udarbejdet risikovurderinger, eller at de er mangelfulde. Fx at myndigheder ikke har overblik over, hvilke andre systemer der er afgørende for, at et samfundskritisk it-system fungerer. Det kan betyde, at it-beredskabet planlægges på et forkert grundlag, og at sikkerhedsniveauet dermed ikke er tilstrækkeligt.
• At myndigheder ikke har udarbejdet brugbare beredskabsplaner. Det gælder særligt i forhold til reetableringsplaner, som er planer for, hvordan systemerne kan komme til at fungere igen efter et nedbrud. Det kan derfor betyde, at myndighederne ikke kan videreføre driften efter et it-nedbrud.
• At myndigheder ikke har testet beredskabsplanerne. Det kan betyde, at medarbejderne ikke har trænet beredskabet og dermed ikke ved, om fx reetablerings­planerne virker efter hensigten.

Myndighedernes udfordringer med at sikre et tilfredsstillende it-beredskab

Myndighedernes it-beredskabsplaner kan være struktureret på forskellige måder og have forskellige navne, men overordnet er der ifølge Digitaliseringsstyrelsens vejledning i it-beredskab 3 typer af planer, der skal være på plads: 

• Krisestyringsplaner beskriver myndighedernes interne krisestyring ved et større it-nedbrud, fx kontaktoplysninger og rollefordeling i en beredskabssituation.
• Forretningsnødplaner beskriver, hvilke nødprocedurer myndighederne kan tage i brug i tilfælde af et nedbrud på de it-systemer, der normalt varetager myndighedens opgaver, fx manuelle procedurer til at løse myndighedens opgaver.
• Reetableringsplaner beskriver, hvordan it-systemer teknisk genskabes efter et nedbrud. Hvis it-systemet driftes af en ekstern leverandør, er det typisk leverandøren, der står for at genskabe systemet og udarbejde en plan for reetablering. Uanset driftsforhold er det dog myndighedens ansvar, at systemet kan reetableres. 

Myndighederne skal desuden teste it-beredskabsplanerne for at vurdere, om procedurerne for beredskabet virker, og for at træne relevante medarbejdere i beredskabshåndteringen.

Vores beretninger om mangler i it-beredskabet:

• Beretning om statens it-beredskab II (5/2023)
• Beretning om statens it-beredskab (3/2022)
• Beretning om Skatteministeriets it-beredskab (20/2020)
• Beretning om beskyttelse mod ransomwareangreb (11/2017).

It-beredskab er også omtalt i beretninger om revisionen af statsregnskabet eller revisionen af statens forvaltning for regnskabsårene 2014, 2016, 2017, 2018 og 2019.

Du kan læse mere om, hvilke krav der er til it-beredskabet for it-systemer i staten, og hvordan myndighederne og institutionerne sikrer opdaterede og relevante it-beredskabsplaner i bl.a. i ISO 27001-/27002-standarderne, Digitaliseringsstyrelsens vejledning og skabeloner til it-beredskab og kommunikation i en beredskabssituation, Center for Cybersikkerheds vejledning ”Cyberforsvar, der virker” samt på sikkerdigital.dk.

It-systemer og udstyr har begrænset levetid. Levetiden er den periode, hvor leverandøren forpligter sig til at udvikle sikkerhedsopdateringer, i takt med at sårbarheder opdages. I løbet af levetiden udgiver leverandøren jævnligt og ofte flere gange om måneden opdateringer, der forbedrer og sikrer it-sikkerheden ved at inddæmme sikkerhedsbrister og beskytte mod nye, kendte trusler. Når levetiden udløber, kan systemet og udstyret ikke længere sikkerhedsopdateres. Det vil nu udgøre en sikkerhedsrisiko.

Vores beretninger om sikkerhedsopdateringer har bl.a. vist:

• At myndighederne kan mangle overblik over omfanget af sikkerhedsopdateringer. Det kan betyde, at myndighederne ikke får opdateret relevante enheder og derfor bliver mere sårbare over for potentielle hackerangreb.
• At myndighederne ikke har en fast procedure for, at især kritiske sikkerhedsopdateringer bliver gennemført. Det kan betyde, at hackere får adgang, inden opdateringerne sker.
• At myndighederne ikke har etableret kompenserende foranstaltninger for it-systemer, som ikke længere kan sikkerhedsopdateres, men som myndighederne fortsat bruger. Det kan betyde, at risikoen for hackerangreb øges. Kompenserende handlinger skal reducere sårbarheden eller risikoen for succesfulde angreb.

Myndighedernes udfordringer med at sikkerhedsopdatere

Myndigheder skal prioritere implementeringen af tekniske tiltag højt, når de arbejder med cyber- og informationssikkerhed. Det anbefaler Center for Cybersikkerhed i vejledningen Cyberforsvar, der virker. 

De understreger også vigtigheden af, at myndighederne sikrer systematiske sikkerhedsopdateringer af deres programmer. Center for Cybersikkerhed tilslutter sig i Rigsrevisionens beretning om forebyggelse af hackerangreb følgende 2 tiltag, der forebygger hackerangreb:

• teknisk begrænsning af download af programmer og nyt udstyr
• begrænsning af brugen af lokaladministratorer og medarbejdere med udvidede rettigheder, der kan downloade nye og ukendte programmer.

Myndighederne bør i god tid håndtere it-systemer og udstyr, hvor det er varslet, at leverandøren ikke længere vil sikkerhedsopdatere dem. Hvis en myndighed allerede har it-systemer og udstyr, der ikke kan sikkerhedsopdateres eller udskiftes, bør myndigheden have kompenserende foranstaltninger klar. De vil fx kunne opdage et angreb eller mindske, at angrebet kan sprede sig.

Vores beretninger om manglende sikkerhedsopdateringer:

• Beretning om it-sikkerheden på Statens It’s servere (6/2023)
• Beretning om universiteternes beskyttelse af forskningsdata (8/2018)
• Beretning om beskyttelse mod ransomwareangreb (11/2017)
• Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata (4/2017)
• Beretning om forebyggelse af hackerangreb (3/2013).

It-sikkerhedsopdateringer er også undersøgt i beretningen om revisionen af statsregnskabet for 2013 (28/2013).

Du kan læse mere om it-sikkerhedsopdateringer bl.a. i ISO 27001-/27002-standarderne, De Tekniske Minimumskrav, Center for Cybersikkerhed, som bl.a. offentliggør varsler om kritiske sårbarheder, Center for Cybersikkerheds vejledning ”Cyberforsvar, der virker” samt på sikkerdigital.dk.

Myndighederne anvender i stigende grad eksterne leverandører til hele eller dele af it-driften. Når driften er outsourcet, har myndighederne ikke længere direkte kontrol over it-sikkerheden. Myndigheden indgår i et kundeforhold med leverandøren. Men det er fortsat myndighedens ansvar at definere kravene til it-sikkerhed og sikre, at kontrakten er dækkende og bliver efterlevet.

Vores beretninger om leverandørstyring har bl.a. vist:

• At myndigheder ikke altid stiller krav eller stiller upræcise krav i kontrakten med leverandøren. Det kan betyde, at leverandøren fortolker kravene og deres forpligtelser. Det giver en risiko for, at leverandøren ikke lever op til det niveau af sikkerhed, myndigheden forventer.
• At myndigheder ikke følger op på, om leverandøren overholder kontrakten og leverer det aftalte. Det kan betyde, at leverandøren ikke lever op til den sikkerhed, der følger af kontrakten.
• At myndigheder ikke holder sig opdateret om adgangsstyring og logning hos leverandøren. Det kan betyde en øget risiko for uautoriseret adgang til it-systemer og data. Fx at ansatte ved leverandøren tilgår it-systemer og data uden at have et arbejdsbetinget behov eller mangler sikkerhedsgodkendelse.

Myndighedernes udfordringer med leverandørstyring

ISO 27001 understreger vigtigheden af at evaluere og styre risici i forbindelse med leverandører. Det gælder især dem, der har adgang til – eller behandler – især følsomme data og oplysninger på vegne af myndigheden. Ud over klare kontraktlige krav til leverandørens it-sikkerhed, herunder behandling af data og rapportering af sikkerhedsbrud, indebærer leverandørstyringen ifølge ISO 27001/27002: 

• overvågning og gennemgang af, om leverandøren overholder sikkerhedskravene
• retningslinjer og kontrolforanstaltninger for håndtering af ændringer i leverandørsamarbejdet, herunder opdatering af kontrakter og sikkerhedsforanstaltninger
• fortsatte forbedringer af samarbejdet baseret på resultater af evalueringer af samarbejdet. 

Det er bl.a. nævnt i Digitaliseringsstyrelsens katalog over kontraktbestemmelser over samfundskritiske it-systemer, at myndigheden bør kræve en revisorerklæring i kontrakten. Den fungerer som dokumentation for leverandørens overholdelse af lovkrav og god it-skik. En erklæring omfatter typisk en gennemgang og vurdering af den overordnede styring af informationssikkerheden, herunder organisering, politik om informationssikkerhed, risikovurderinger og beredskabsplaner.

Vores beretninger om leverandørstyring:

• Beretning om Energinets outsourcing af driften af forsyningskritisk it-infrastruktur (14/2021)
• Beretning om outsourcede persondata (15/2019)
• Beretning om styring af it-sikkerhed hos it-leverandører (5/2016). 

Leverandørstyring er også undersøgt i beretninger om revisionen af statens forvaltning for regnskabsårene 2019 og 2020.

Du kan læse mere om krav til leverandørstyring i staten, og hvordan myndighederne sikrer tilfredsstillende leverandørkontrakter i ISO 27001-/27002-standarderne, Digitaliseringsstyrelsens ”Krav til kontrakt- og leverandørstyring for samfundskritiske it-systemer”, ”Katalog over kontraktbestemmelser for samfundskritiske it-systemer” samt i ”Vejledning i anvendelse af cloudservices” og Center for Cybersikkerheds vejledning ”Cybersikkerhed i leverandørforhold”.