Statens IT-sikkerhed får hug
En række helt centrale statsinstitutioner får kritik af Rigsrevisionen, når det kommer til it-sikkerhed.
Der er plads til forbedringer i it-sikkerheden i nogle af samfundets helt centrale og mest følsomme institutioner.
Det er konklusionen i en ny beretning fra Rigsrevisionen, der har gransket it-sikkerheden i seks institutioner, herunder Kriminalforsorgen, Rigspolitiets koncern IT, National Sundheds-it, Statens It og Banedanmark.
Af sikkerhedsmæssige hensyn kan Rigsrevisionen ikke offentliggøre, hvad der konkret er galt i de enkelte institutioner.
Men hovedkonklusionen er klar: Samlet set formår de seks institutioner ikke at leve op til en række anerkendte anbefalinger om almindelig god it-sikkerhed, og særligt to at institutionerne falder igennem.
Begrænset tildeling af administratorret
Særligt er det faldet Rigsrevisionen i øjnene, at institutionerne “ikke i tilstrækkelig grad” har sørget for at begrænse tildelingen af særlige administratorrettigheder, der giver bestemte ansatte udvidet adgang til it-systemerne.
Der er heller ikke sørget for at sikre, at man kan spore de medarbejdere, der har været inde og søge oplysninger i de forskellige databaser.
Fem af de seks institutioner gennemgår slet ikke logfilerne regelmæssigt i forsøget på at opdage, om man er offer for misbrug af de meget følsomme oplysninger, de statslige institutioner ligger inde med.
Og så er der spørgsmålet om passwords.
Også her er der plads til forbedringer, fremgår det af rigsrevisionens rapport:
Ingen af institutionerne skifter ikke-personlige passwords årligt, og størstedelen af de pågældende passwords er op til syv år gamle.
Enkelte passwords er ikke blevet skiftet siden slutningen af 1990’erne.
/ritzau/