Rigsrevision i hård kritik: Hullet it-sikkerhed kan lamme politiets efterforskning og alarmberedskab

RAPPORT: It-sikkerheden hos Rigspolitiet halter på kritiske områder trods gentagne påtaler, påpeger Rigsrevisionen. Fejlene betyder, at "kritiske systemer" kan svigte i "uacceptabelt lang tid".

Vi tager kritikken meget alvorligt og har allerede gjort meget, lyder det fra politiet, efter Rigsrevisionen har påpeget kritisk fejl i deres systemer.
Vi tager kritikken meget alvorligt og har allerede gjort meget, lyder det fra politiet, efter Rigsrevisionen har påpeget kritisk fejl i deres systemer.Foto: Anne Bæk/Ritzau Scanpix
Henrik Moltke

It-sikkerheden halter stadig i en sådan grad, at politiet risikerer ikke at kunne "varetage sine opgaver, for eksempel inden for alarmberedskab og opslag i forskellige registre i forbindelse med efterforskning".

Det skriver Rigsrevisionen i sin årsrapport for 2018, som blev offentliggjort 16. august. 

Ifølge Rigsrevisionen er der i år fundet en række "nye alvorlige mangler i it-sikkerheden omkring nogle af Rigspolitiets kritiske systemer".

Rapporten afslører ikke, hvilke kritiske systemer det drejer sig om, men advarer om, at manglerne kan betyde, "at politiets kritiske it-infrastruktur svigter, og at det vil tage uacceptabelt lang tid at genetablere driften".

Hvis jeg læser rapporten rigtigt, så er det et bål, der allerede brænder og kun venter på, at nogen kaster benzin på det

Peter Kruse
It-sikkerhedsekspert, stifter af CSIS Security Group.

"Hvis jeg læser rapporten rigtigt, så er det et bål, der allerede brænder og kun venter på, at nogen kaster benzin på det," siger it-sikkerhedsekspert Peter Kruse, stifter af CSIS Security Group.

Rapporten påpeger, at Rigspolitiet har nedbragt antallet af medarbejdere med administratorrettigheder og styrket overvågningen og logningen af systemer. Samtidig, vurderer Rigsrevisionen, bør politiets servere sikres bedre mod ekstrem regn og varme.

Umoden it-sikkerhed
Ifølge Peter Kruse vidner rapporten om, at Rigspolitiet stadig ikke prioriterer sikkerheden højt nok.

"De har en påtale nu, som man kan spore helt tilbage til den måske største skandale i nyere tid, hvor der blev stjålet CPR-numre, og der blev brudt ind i Schengen-registret," vurderer han og fortsætter:

"At man så oveni får påtalt nye problemstillinger, som ville betyde, at Politiet ikke kunne udføre deres arbejde, og at servere ville komme ud af drift – den umodenhed hører ikke hjemme i 2019."

Politiet: Vi har styr på det
It-direktør hos Rigspolitiet Lars Ole Dybdal mener ikke, at Rigsrevisionens rapport giver grund til bekymring:

"Vi har it-sikkerhed som topprioritet. I og med at trusselsbilledet og samfundet udvikler sig, og vi bliver mere afhængige af it-systemer, så skal vi også følge med. Det gælder nye systemer, men også, når vi skal have vores gamle systemer up to speed," siger Lars Ole Dybdal.

"Vi tager kritikken meget alvorligt og har allerede gjort meget. Vi har handlingsplaner og afrapporterer til øverste ledelse, og der er fuld fokus på både at følge med og være på forkant."

Han forsikrer, at Koncern It, som står for driften af politiets og anklagemyndighedens blanding af gamle og nye it-systemer, "knokler videre", men påpeger, at det tager tid at nå helt i mål.  

Læs mere på Altinget: digital, hvor du får mere baggrund og flere kommentarer.

Læs også

Dokumentation

Kritik af it-sikkerhed er ikke ny
De "alvorlige mangler" i Rigspolitiets it-sikkerhed, som Rigsrevisionen påpeger i sin 2018-beretning om statens forvaltning, er ikke en ny kritik.

Rigspolitiet modtog allerede i 2014-revisionen hård kritik for at tilsidesætte helt basale sikkerhedsprincipper såsom at sørge for, at sikkerhedsopdateringer blev installeret.

I 2015 fremlagde Datatilsynet en usædvanlig markant kritik af Rigspolitiet, efter at hackere i 2012 stjal store mængder særdeles personfølsomme data fra Schengen-registret, kørekort-registret og CPR-registret fra Rigspolitiets underleverandør CSC.

Hovedparten af de "væsentlige sårbarheder", som blev påtalt i 2014, er ifølge Rigsrevisionen blevet forbedret. Men det fremgår ikke af rapporten, hvilke fejl og mangler der stadig ikke er udbedret, "da de kan udgøre en it-sikkerhedsrisiko, indtil virksomhederne har forbedret sikkerheden".


Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion


0:000:00