Statsrevisorerne kritiserer skarpt, at en række statslige institutioner ikke i tilstrækkeligt omfang beskytter fortrolige oplysninger om personer og virksomheder.
- Det medfører risiko for, at personer kan få krænket deres privatliv, og at virksomheder kan miste konkurrencefordele, fordi personer, private virksomheder og offentlige myndigheder kan få adgang til fortrolige oplysninger, som de ikke er berettigede til, skriver Statsrevisorerne i en beretning.
Læs også vores IT-sikkerhedsstafet med flere advarsler
Kritikken kommer, efter at Rigsrevisionen har undersøgt, hvordan fortrolige oplysninger om personer og virksomheder behandles i 11 udvalgte it-systemer i otte statslige institutioner.
Det er blandt andet Rigspolitiet, Skat, Socialstyrelsen og Sundhedsstyrelsen, som Rigsrevisionen har gransket, og det er altså nedslående læsning, mener Statsrevisorerne.
Af undersøgelsen fremgår det, at ingen af de undersøgte institutioner efterlever alle de krav til behandling af fortrolige personoplysninger, som er fastsat i sikkerhedsbekendtgørelsen, der er udstedt i medfør af persondataloven.
- Statsrevisorerne finder det særdeles relevant, at flere af institutionerne meget hurtigt har iværksat tiltag, der skal imødegå kritikpunkterne i undersøgelsen, lyder det fra Statsrevisorerne.
Statsrevisorerne noterer sig også, at datatilsynet, der har tilsynsopgaven, ikke har ført tilsyn med de otte undersøgte it-systemer i de seneste tre år.
IT-sikkerhedsstafetten
Flere tilfælde af hackerangreb på offentlige kernesystemer og Rigsrevisionens meget kritiske rapport i efteråret 2013 bør afføde en vigtig debat om IT-sikkerhed i Danmark.
Den totale digitalisering af al kommunikation mellem borgere, erhverv og offentlige instanser medfører mange udfordringer. Dem søger IT-stafetten på DenOffentlige.dk at adressere.
Læs alle indlæggene i IT-sikkerhedsstafetten her.
SF's retsordfører, Karina Lorentzen, mener, at der er behov for mere fokus på lovgivning, vejledning og kontrol. Mange institutioner er famlende overfor lovgivningen, som er svær og uigennemskuelig, mener hun.
- Vi bliver nødt til at guide dem på vej, og samtidig må vi sikre, at Datatilsynet både har de rigtige ressourcer og redskaber, og det kræver ny lovgivning, siger hun i en kommentar.
Kritikken kommer i kølvandet på den store CSC-hackersag, hvor hackere fra april til august 2012 fik adgang til statens it-leverandør, CSC Danmark A/S.
Her blev der stjålet oplysninger fra flere politiregistre - blandt andet kriminalregistret, kørekortregistret og CPR-registret.
Der er formentlig tale om det alvorligste cyberangreb i Danmark nogensinde, og to mænd er nu dømt i sagen.
DI: Kritik af statens it-sikkerhed er en bombe Dansk Industri (DI) mener, at der er meget alvorligt, når Statsrevisorerne kritiserer flere statslige institutioner for ikke at overholde sikkerhedsprocedurerne for behandling af personlige oplysninger på internettet.I en ny rapport fra Statsrevisorerne bemærkes det, at otte af landets største institutioner ikke har behandlet fortrolige oplysninger om personer og virksomheder på en hensigtsmæssig måde.
- Undersøgelsen viser, at de statslige institutioner ikke i praksis tager sikkerhedsprocedurerne alvorligt. Det er en bombe under tilliden til den offentlige digitalisering - både set fra borgere og virksomheders synspunkt.
- Det betyder, at det kan være svært at have tillid til, at vore data behandles fortroligt, siger Adam Lebech, der er branchedirektør for DI Itek, industriorganisationens branchefællesskab for it-, tele-, elektronik- og kommunikationsvirksomheder.
Han forventer, at institutionerne fremadrettet tager større ansvar for datasikkerheden.
- Det er væsentligt, at de statslige institutioner sørger for at få en skudsikker håndtering af brugeradgang på plads. Man skal blive meget bedre til at sikre, at kun de, der har tilladelse til at få adgang til data, rent faktisk får adgang.
- Der skal langt bedre styr på håndtering af overtrædelser og løbende opdatering af, hvilke brugere der har adgang til hvilke systemer, siger Adam Lebech.
Skat, Danmarks Statistik, Rigspolitiet og Sundhedsstyrelsen er blandt de offentlige institutioner, der har fået kritiske bemærkninger i rapporten. Flere af institutionerne har onsdag lovet at indføre nye initiativer for at rette fejlene.
/ritzau/
FAKTA: Statsrevisorerne påpeger fejl i datasikkerheden Statsrevisorerne er kommet med bemærkninger til en ny undersøgelse om datasikkerhed i statslige institutioner.
Onsdag er Statsrevisorerne kommet med deres bemærkninger til en ny undersøgelse, der viser, at flere statslige institutioner ikke har behandlet fortrolige oplysninger om personer og virksomheder på en hensigtsmæssig måde.
Det er Rigsrevisionen, der har undersøgt, hvordan fortrolige oplysninger behandles i otte statslige institutioner: Arbejdsskadestyrelsen, Danmarks Statistik, Forsvarskommandoen, Institut for Menneskerettigheder, Rigspolitiet, Skat, Socialstyrelsen og Sundhedsstyrelsen.
Statsrevisionerne er herefter kommet med følgende bemærkninger til undersøgelsen:
* De statslige institutioner beskytter ikke tilstrækkeligt fortrolige oplysninger, hvilket medfører en risiko for, at personer kan få krænket deres privatliv, og at virksomheder kan miste konkurrencefordele.
* Flere af institutionerne har hurtigt iværksat tiltag, der imødekommer undersøgelsens kritikpunkter.
* I 2011 gjorde Rigsrevisionen Danmarks Statistik opmærksom på, at de ikke opfyldte de sikkerhedsmæssige krav. Statsrevisorerne er utilfredse med, at Danmarks Statistik endnu ikke har opfyldt disse krav.
* Datatilsynet har ikke ført tilsyn med it-systemerne hos det nævnte institutioner i tre år, selvom det har været dets opgave.
* De er også opmærksomme på, at uklar ansvarsplacering mellem de forskellige myndigheder kan være med til at svække både tilsynet og datasikkerheden.
Statsrevisionerne har også fremlagt, hvilke initiativer institutionerne vil arbejde på fremadrettet:
* Både Forsvarskommandoen og Skat vil gennemgå og opdatere retningslinjerne for datasikkerhed inden udgangen af 2014.
* Rigspolitiet har gjort en halvårlig kontrol af brugeradgange til deres hjemmeside mulig, mens Socialstyrelsen vedtog samme løsning i maj 2014.
* Socialstyrelsen vil undersøge muligheden for at indføre en registrering af afviste adgangsforsøg til deres hjemmeside.
* Forsvarskommandoen og Skat sletter i fremtiden loginregistreringer halvårligt.
* Skat vil indføre nye retningslinjer for tilsyn af datasikkerheden, hvilket forventedes at ligge klar senest i september 2014. Socialstyrelsen har også fået nye retningslinjer for tilsyn, hvilket nu er i gang med at blive implementeret.
* Både Rigspolitiet og Danmarks Statistik vil sørge for, at deres sikkerhedsforanstaltninger lever op til databehandlerens krav, mens Skat og Socialstyrelsen henholdsvis har lavet og er i gang med at udfærdige en aftale med databehandleren.
(Kilde: Beretning om statens behandling af fortrolige oplysninger om personer og virksomheder, Statsrevisorerne)