Rigsrevisionen: Statens It har stadig ikke styr på sikkerheden

Statens It fik sidste år en ordentlig røffel af Rigsrevisionen for ikke at have styr på it-sikkerheden.

Læs også: Skarp kritik af sikkerheden i Statens It og flere ministerier

Og selvom der er sket forbedringer siden da, konstaterer Rigsrevisionen nu, at det stadig ser skidt ud. Det fremgår af den netop udkomne Beretning om revisionen af statsregnskabet 2012.

Der er fortsat ’væsentlige svagheder i it-sikkerheden, fx manglende dokumentation for, om kundernes væsentlige fagsystemer kan genetableres, manglende overblik over, om servere, systemsoftware og programmer er fuldt sikkerhedsopdateret og mangelfulde procedurer og kontroller for sikkerhedsopdateringer’, skriver Rigsrevisionen.

Kritikken går også på, at der er ’mangler i beredskabsstyringen’, hvilket blandt andet dækker over, at der ikke er en plan for, hvordan man kommer tilbage i normal drift efter et nedbrud.

Og så er den gal med prioriteringen, mener Rigsrevisionen, for Statens It bruger mange kræfter på at indføre nye, dokumenterede arbejdsprocesser, hvilket går ud over sikkerhedsarbejdet.

»Rigsrevisionen vurderer på den baggrund, at det vil være en udfordring for Statens It samtidig at rette op på de sikkerhedsmæssige svagheder, hvilket Rigsrevisionen finder stærkt påkrævet,« skriver Rigsrevisionen.

I forhold til Rigsrevisionen kritik for et år siden, har der dog været fremgang på nogle områder. Ledelsen har i løbet af 2013 haft meget fokus på at hæve sikkerheden, og arbejdet med at få nye interne procedurer og kontroller er ’forløbet tilfredsstillende’, lyder dommen.

Vejledninger og fælles standard over et år forsinket

Et andet kritikpunkt fra tidligere er heller ikke rettet op, selvom Statens It meldte, at det ville ske i løbet af første halvår 2013.

Stikprøver hos 14 af Statens It’s ’kunder’, altså ministerier og styrelser, viste i 2011, at der slet ikke var styr på styringen af it-sikkerheden. Selvom kritikken formelt var rettet mod disse 14 myndigheder, tog Statens It sidste år en del af ansvaret på sig.

Læs også: Statens It efter sløseri med sikkerheden: Det er noget skidt

Men afhjælpningen på problemet – en fælles standard for styring af it-sikkerhed – er ikke blevet klar som aftalt. Meldingen var, at Statens It ville lave skabeloner og vejledninger for eksempelvis informationssikkerhedspolitik, it-risikoanalyse og it-beredskab, og at hele staten med tiden så kunne bruge disse fælles dokumenter.

I juni 2013, da Rigsrevisionen rykkede for resultater, lød meldingen i stedet, at den fælles standard først kunne blive klar i oktober 2014.

‘Rigsrevisionen finder, at fremdriften ikke har været tilfredsstillende, og vil følge sagen’, skriver Rigsrevisionen.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>