Statsrevisorerne: IT-sikkerhed i staten lever ikke op til minimumskrav
Flere myndigheder med ansvaret for personfølsomme data og kritisk infrastruktur modtager kritik fra statsrevisorerne for fortsat ikke at leve op til minimumskravene for IT-sikkerhed indført i 2020.
Nickolaj Storgaard Oksen
JournalistStatsrevisorerne retter kritik af en række myndigheder for fortsat manglende IT-sikkerhed ved kritisk digital infrastruktur.
De lever ikke op til minimumskravene for sikkerhed, og det er "på trods af, at kravene trådte i kraft for halvandet år siden," lyder det.
Oplysninger om kriminalitet, efterforskninger og personfølsomme sundhedsdata er blandt de mange typer af information, som ikke er sikret tilstrækkeligt mod ondsindede hackerangreb. Det viser en undersøgelse foretaget af Rigsrevisionen, som er grundlaget for statsrevisorernes kritik.
Også muligheden for, at hackere kan udgive sig for at være en myndighed, ændre i vigtige datasæt, tage kontrol med kritisk infrastruktur eller aflytte offentligt ansatte, er under kritik.
"Statsrevisorerne finder, at der er brug for, at Finansministeriet stiller sig i spidsen for vedvarende fokus på it-sikkerheden i staten," skriver statsrevisorerne i beretningen.
Alle stikprøver dumper på minimumskrav
Statens IT, Kriminalforsorgen, Sundhedsdatastyrelsen, Energistyrelsen og Fødevaredatastyrelsen er de myndigheder, der blev udtaget til kontrol. Ingen af dem lever dog op til de 20 minimumskrav for IT-sikkerhed, der har været ufravigelige krav siden 2020 i hele statsapparatet.
De er særligt udvalgt, fordi de forvalter kritisk infrastruktur eller personfølsomme data.
Sundhedsdatastyrelsen har kun efterlevet 14 minimumskrav, hvor Energistyrelsen har efterlevet 15 krav, Kriminalforsorgen har efterlevet 16 krav, og Fødevarestyrelsen har efterlevet 17 krav. Statens IT, som er "professionel aktør og leverandør af IT-ydelser til 19 ministerier" har efterlevet 18 ud af 20 krav.
Statsrevisorerne gør i beretningen opmærksom på, at opfyldelsen af kravene ”ikke i sig selv er et udtryk for, at myndigheden har en høj IT-sikkerhed. En høj IT-sikkerhed kræver således mere end efterlevelsen af de 20 tekniske minimumskrav”.
Kravene er godkendt af styregruppen for den nationale cyber- og informationssikkerhedsstrategi, herunder Finansministeriet, Forsvarsministeriet, Justitsministeriet, Transport- og Boligministeriet, Erhvervsministeriet, Sundheds- og Ældreministeriet samt Klima- Energi og Forsyningsministeriet.
Sikkerhedskrav til computere:
- Der skal implementeres firewall på alle enheder.
- Medarbejdere skal benytte en af myndighederne stillet til rådighed VPN løsning til at gå på internettet via arbejdscomputer fra eksterne netværk.
- Kryptering af harddiske.
- Der skal implementeres beskyttelse mod virus, malware mv. med automatisk opdatering på alle klienter.
- Enheder skal opdateres regelmæssigt - både styresystem og applikationer.
- Administratorrettigheder for brugere tildeles kun tidsbegrænset og ved veldokumenterede behov.
- Det anvendte operativsystem skal være så nyt som muligt, og skal som minimum være supporteret med sikkerhedsopdateringer.
Sikkerhedskrav til mailsystem:
- Der må kun anvendes af myndigheden godkendte mail-servere med
autentifikation. - Alle mailkommunikation skal som minimum krypteres med TLS 1.2.
- Webmail må kun anvendes udenfor myndighedens lokale netværk, hvis dette foregår via en direkte VPN-forbindelse til myndighedens netværk.
- Implementering af en DMARC REJECT policy, der stopper modtagelsen af ondsindede mails før de ankommer, skal implementeres på alle maildomæner tilhørende myndigheden.
Sikkerhedskrav til mobiltelefoner:
- Anvend numerisk adgangskode på minimum 6 cifre eller biometrisk identifikation.
- Operativsystem og apps på mobile enheder skal opdateres regelmæssigt.
Sikkerhedskrav til netværk:
- WIFI på myndighedens arbejdsnetværk skal være krypteret med minimum WPA2.
- Krav om logning - log på alle systemer og tjenester på netværksservere.
Sikkerhedskrav til websider:
- Der skal benyttes regelmæssigt opdateret serversoftware på webservere.
- Der må ikke anvendes Flash på hjemmesider tilhørende myndigheden.
- Kommunikation til hjemmesider skal krypteres og anvende minimum TLS 1.2, dvs. der skal implementeres HTTPS på alle hjemmesider.
- Myndigheden skal anvende en sikker DNS-tjeneste eller implementere anden løsning til beskyttelse mod skadelige hjemmesider.
- DNS oversætter IP-adresser til domæner.
- Det er at betragte som en telefonbog, hvor IP-adressen er nummeret og domænet er navnet.
- DNSSEC skal tilknyttes alle domænenavne tilhørende myndigheden.