Der er plads til forbedringer i it-sikkerheden i nogle af samfundets helt centrale og mest følsomme institutioner.
Det er konklusionen i en ny beretning fra Rigsrevisionen, der har gransket it-sikkerheden i seks institutioner, herunder Kriminalforsorgen, Rigspolitiets koncern IT, National Sundheds-it, Statens It og Banedanmark.
Af sikkerhedsmæssige hensyn kan Rigsrevisionen ikke offentliggøre, hvad der konkret er galt i de enkelte institutioner.
IT-sikkerhedsstafetten
Flere tilfælde af hackerangreb på offentlige kernesystemer og Rigsrevisionens meget kritiske rapport i efteråret 2013 bør afføde en vigtig debat om IT-sikkerhed i Danmark.
Den totale digitalisering af al kommunikation mellem borgere, erhverv og offentlige instanser medfører mange udfordringer. Dem søger IT-stafetten på DenOffentlige.dk at adressere.
Læs alle indlæggene i IT-sikkerhedsstafetten her.
Men hovedkonklusionen er klar: Samlet set formår de seks institutioner ikke at leve op til en række anerkendte anbefalinger om almindelig god it-sikkerhed, og særligt to at institutionerne falder igennem.
Særligt er det faldet Rigsrevisionen i øjnene, at institutionerne "ikke i tilstrækkelig grad" har sørget for at begrænse tildelingen af særlige administratorrettigheder, der giver bestemte ansatte udvidet adgang til it-systemerne.
Der er heller ikke sørget for at sikre, at man kan spore de medarbejdere, der har været inde og søge oplysninger i de forskellige databaser.
Fem af de seks institutioner gennemgår slet ikke logfilerne regelmæssigt i forsøget på at opdage, om man er offer for misbrug af de meget følsomme oplysninger, de statslige institutioner ligger inde med.
Og så er der spørgsmålet om passwords.
Også her er der plads til forbedringer, fremgår det af rigsrevisionens rapport:
Ingen af institutionerne skifter ikke-personlige passwords årligt, og størstedelen af de pågældende passwords er op til syv år gamle.
Enkelte passwords er ikke blevet skiftet siden slutningen af 1990’erne.
/ritzau/