It-råd kritiserer "utilfredsstillende sikkerhed" i hver fjerde af statens mest kritiske it-systemer

Det halter med sikkerheden for mange statslige it-systemer, hvor større driftsforstyrrelser risikerer at resultere i blandt andet økonomiske tab for staten, længerevarende nedbrud af kritisk infrastruktur eller reelle trusler for den nationale sikkerhed. 

De statslige myndigheder angiver i en rundspørge i den seneste statusrapport fra Statens It-råd, at sikkerheden vurderes at være "utilfredsstillende" for 24 procent af de samfundskritiske it-systemer i staten. 

"Rådet finder det kritisabelt, at så stor en del af systemerne vurderes at have en utilfredsstillende sikkerhed," skriver It-rådet. 

Rådet finder det kritisabelt, at så stor en del af systemerne vurderes at have en utilfredsstillende sikkerhed.

Statens It-råd i "Statusrapport 2022"

Det fremgår ikke, hvilke it-systemer eller sektorområder, der er tale om.

For yderligere tre procents vedkommende er der desuden ikke foretaget en risikovurdering af informationssikkerheden i henhold til ISO 27001-standarden.

It-rådet opfordrer til at få det gjort, "så sikkerhedsudfordringerne bliver kendt, og der kan lægges planer for at håndtere dem".

"Særligt i lyset af den nuværende sikkerhedspolitiske situation og det generelle trusselsbillede, tilskynder It-rådet myndighederne til at fortsætte med at højne sikkerhedsniveauet for de samfundskritiske systemer. Det er afgørende, at statens mest kritiske systemer er sikret tilstrækkeligt," skriver It-rådet.

"Det går den rette vej"

Digitaliseringsminister Marie Bjerre (V) stemmer i. 

”Det er naturligvis ikke godt nok, hvis samfundskritiske it-systemer har et utilfredsstillende sikkerhedsniveau," siger hun i en skriftlig kommentar.

Marie Bjerre oplyser, at ministeriet - for at sikre et højt fokus på informationssikkerhed i statslige myndigheder - løbende følger op på myndighedernes implementering af den internationale sikkerhedsstandard ISO27001.

"De statslige myndigheder er endnu ikke kommet helt i mål med ISO27001-implementeringen, men det går den rette vej. Det er dog positivt, at statusrapporteringen for 2022 viser, at størstedelen af de samfundskritiske it-systemer har fået implementeret alle relevante sikkerhedsopdateringer,” siger hun.

Det gælder i alt 83 procent af de samfundskritiske it-systemer.

Samtidig angiver myndighederne, at der er tilstrækkelige interne ressourcer med teknisk viden om systemet for 84 procent af de samfundskritiske systemer.

Forbedringer er sat i værk

It-rådet mener da også, at der er grund til optimisme på en række områder. 

På baggrund af myndighedernes tilbagemeldinger og it-handlingsplaner er det It-rådets indtryk, at myndighederne har overblik over de samfundskritiske systemers tilstand.

De fleste myndigheder har iværksat initiativer, som forventes at udbedre udfordringerne og mindske risici.

Blandt andet er der myndigheder, der er i færd med at udvikle nye systemer, udfase gamle, samt opgradere og videreudvikle eksisterende systemer.

"It-rådet bemærker dog, at tidshorisonten for forbedringerne varierer på tværs af myndighederne, ligesom udfordringsbilledet og antallet af samfundskritiske systemer med udfordringer er forskelligt for myndighederne. It-rådet opfordrer til, at myndighederne prioriterer initiativerne vedrørende deres samfundskritiske systemer højt. Det gælder særligt initiativer på at forbedre sikkerheden i systemerne," skriver It-rådet.