Det var ikke godt nok sidste år – og det var det heller ikke i år. Rigsrevisionen er igen ude med riven, efter at have gennemgået it-sikkerheden hos statens store it-selskab Statens It, som blandt andet får kritik for ikke at have styr på, om servere og software har fået de nødvendige sikkerhedsopdateringer.
Kritikken bliver taget til efterretning, men den gode nyhed er, at niveauet hele tiden bliver bedre, lyder det fra Michael Ørnø, direktør for Statens It.
»Det er værd at bemærke, at hvor vi sidste år fik karakteren ’ikke tilfredsstillende’, var det i år ’ikke helt tilfredsstillende’, altså et trin op. Det er et udtryk for, at der er sket en masse forbedringer, og vi fortsætter med hele tiden at forbedre,« siger Michael Ørnø til Version2.
For eksempel har Statens It siden Rigsrevisionen kom på besøg før sommerferien fået styr på sikkerhedsopdateringer af servere, fortæller han.
»Det er bestemt alvorlige kritikpunkter, men de er mindre alvorlige end sidste år. Det er en stor opgave at komme igennem, det kommer vi ikke uden om. Men nu får vi historien om alt det, der ikke er i orden. Der mangler historien om alt det, vi har fået i orden,« siger Michael Ørnø.
Skal man som kunde hos Statens It være bekymret, når man læser Rigsrevisionens kritik?
»Nej, det skal man ikke, for man kan være sikker på, at vi arbejder seriøst og koncentreret med de her sager.«
Som ost og skinke
Statens It får også kritik for at bruge for mange af kræfterne på papirarbejdet med ISO 27001-certificeringen, som Statens It arbejder på at leve op til kravene i. Det går ud over arbejdet med at rette op på sikkerhedsmanglerne, lyder Rigsrevisionens vurdering.
Men man kan ikke se arbejdet med ISO 27001 som en modsætning til at løse sikkerhedsproblemer i praksis, mener Michael Ørnø.
»Det undrer mig, at det står sådan. En del af ISO 27001 er for eksempel, at man skal have styr på patch management. Det er et krav. Og selvom alle kan blive enige om, at det er vigtigere at patche servere end at skrive om at patche servere, så kan jeg ikke se, at det er i modstrid med hinanden. Vi har papiret færdigt, og så handler det om adfærd og om at gøre det. Udgangspunktet for at have styr på it-sikkerheden, det er at have styr på styringen af it-sikkerheden. Det tror jeg, at Rigsrevisionen er enig i,« siger Michael Ørnø.
Netop ved at bruge kræfter på at leve efter ISO 27001-standarden og dermed risikobaseret it-styring, kan Statens It bedre vurdere, hvor der skal sættes ind først.
»Hele vores styring af it-sikkerheden ligger i denne risikobaserede tilgang. Vi får ikke længere kritik for ikke at have et opdateret risikobillede. Og det er papirarbejde, der har ført os dertil. Papirarbejdet og den faktiske sikkerhed er som ost og skinke – det fungerer bedre sammen end hver for sig,« siger direktøren.
Leave a Reply