Offentlige data vitale for samfundsdriften og følsomme persondata er dårligt beskyttet

Rigsrevisionen har lavet en større undersøgelse, der har kortlagt sikkerhedsniveauet i flere offentlige systemer.

De kritiserer direkte Energinet.dk, BaneDanmark, National Sundheds-IT, Statens IT, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT.

I den nye rapport skriver Rigsrevisionen:

"Ingen af de 6 undersøgte institutioner har håndteret de udvidede administratorrettigheder med den nødvendige professionalisme."

De udvidede administratorrettigheder giver det højeste adgangsniveau, med fuld kontrol over IT-systemer og data.

En mangelfuld styring og kontrol med de udvidede administratorrettigheder betyder der er en potentiel stor sikkerhedsbrist, som der skal rettes op på.

De nævner endvidere at enkelte ikke-personlige kodeord, ikke er blevet skiftet siden slutningen af 90'erne, og størstedelen af kodeordene er op til 7 år gamle. Ingen af de førnævnte institutioner har haft skiftet kodeord årligt.

 

Når en IT-chef fratrådte, er kodeordene heller ikke blevet ændret.

Et andet aspekt er at ingen af de 6 institutioner har haft overvåget uregelmæssigheder i deres IT-miljøer, og uden overvågning kan man ikke se hvis man eks. er under cyberangreb.

Sidst nævnes der at en administratorbruger har fuld adgang til Active Directory, hvormed en ondsindet administrator vil kunne udgive sig for at være en hvilken som helst bruger i systemet, og derudover skaffe sig adgang til andre dele af institutionens IT-systemer og data.

Billede: Flavio Takemoto, FreeImages.com

Kategori: Online   Andet  

Tags: rigsrevisionen   sikkerhed   offentlig it