Spioner sjusker med IT-sikkerhed

Danmarks nationale it-sikkerhedsmyndighed, Center for Cybersikkerhed, har aldrig levet op til de it-sikkerhedskrav, de pålægger alle andre offentlige myndigheder at følge.

Det fremgår af to årsrapporter fra Tilsynet med Efterretningstjenesterne, der fører kontrol med centret, der er underlagt Forsvarets Efterretningstjeneste (FE), skriver Politiken torsdag.

• Gabende sikkerhedshul opdaget i Mac-computere
• Har du fået sådan et link på Messenger? Åbn det ikke!

Selv om FE i både 2015 og 2016 har lovet bod og bedring, er fejlene ikke udbedret. Det fremgår bl.a. af et jobopslag med ansøgningsfrist 12. november 2017. Heri søger FE en ekspert, hvis
primære opgave bliver ’implementering og daglig håndtering’ af den interne it-sikkerhed. FE bekræfter, at der er tale om udbedring af de fejl, Tilsynet har afdækket.

Jesper Lund fra IT-Politisk Forening kalder sagen »meget alvorlig«:

– Når Center for Cybersikkerhed opbevarer så store mængder af meget følsomme data, bør sikkerhedskravene derfor være meget høje. Også højere end andre steder. Nu tyder det på, centret
ikke har tilstrækkelig godt styr på datasikkerheden. Det er meget alvorligt, siger han til Politiken.

Nyt forsvarsforlig

Afsløringen kommer få dage før, Folketinget forventes at vedtage et nyt forsvarsforlig, der vil tilføre centret flere midler og større kompetence til at kontrollere it-sikkerheden i Danmark. Det
bekræftede statsminister Lars Løkke Rasmussen (V) i sin tale til FE’s 50 års jubilæum:

– Den stigende cybertrussel er en kompleks udfordring, der retter sig mod alle dele af samfundet. Center for Cybersikkerhed spiller en meget vigtig rolle. Det er et område, vi kommer til at
skulle prioritere op. Det er en ingrediens i det forsvarsforlig, som i disse dage forhandles frem.

Centret står ifølge Politikens oplysninger til at modtage et stort trecifret millionbeløb i ekstra bevilling.

Fejler på fem parametre

Det er den internationale it-sikkerhedsstandard ISO27001, som centret ikke lever op til. Ud af de 38 undersøgte kontrolparametre har de i 2015 fejlet på ni parametre – i 2016 på 5.

Formelt er centret undtaget loven, der pålægger andre myndigheder at leve op til kravene. Adspurgt hvorfor centeret ikke formår at leve op til kravene, svarer FE:

– Omlægningen til ISO27001-standarden tager tid blandt andet pga. kompleksiteten i den eksisterende it-portefølje. Vi vil selvfølgelig fortsætte med omlægningen og ligesom andre offentlige styrelser prioriterer FE implementeringen af ISO27001s ledelsesværktøjer, skriver centret i en mail til Politiken.

Kilde: Politiken.