Store offentlige institutioner ligger inde med en enorm mængde data. Det er data der kan misbruges af kriminelle, terrorister og andre. Derfor er det altafgørende, at disse date er godt beskyttede.
Men det er de ikke.
Det står meget slet til med it-sikkerheden i en lang række at de store offentlige institutioner.
Det skrev Rigsrevisionen i en meget foruroligende rapport, som blev offentliggjort for forrige uge.
Det står galt til i samtlige de institutioner Rigsrevisionen undersøgte: Banedanmark, Energinet.dk, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT.
Fagbladet Ingeniøren har lavet en højst fortjentfuld nærlæsning af Rigsrevisionens rapport. Og det er rystende ting, de kan bringe videre til læserne i en leder i bladet skrevet af Arne R. Steinmark.
Rystende afsløringer
Ingen af de store offentlige institutioner håndterer de såkaldte administratorrettigheder professionelt, hvilket Rigsrevisionen kalder ‘kritisabelt og foruroligende’, skriver Ingeniøren i sin leder.
Det helt afgørende ved it-systemer er, at der er fuld sikkerhed for at udefrakommende ikke kan trænge ind og få adgang til dataerne.
Det sker gennem et såkaldt administratorsystem med blandt andet kodeord.
Hvis det ikke fungerer, er det nemt for hackere at trænge ind i systemerne. Det er tilmed muligt for dem at slette deres spor, så man ikke ved, at der har været nogen inde i systemet for at stjæle eller manipulere med data.
Ingen holder øje med uventede mønstre som for eksempel at der bliver logget ind fra samme IP-adresse i Danmark og det fjerne Østen.
Eller som det ifølge Ingeniøren hedder i revisionens beretning: ‘… samfundsopgaver er udsat for alvorlige it-sikkerhedsmæssige risici, der kan true opgavernes løsning og kompromittere fortrolige data’.
Det er ikke teorier – det går faktisk ofte galt
Og det er ikke luftigt tankespin. Ingeniøren minder om nogle af de it-skandaler, der allerede har været i offentlige systemer. De skriver:
“Rigsrevisionens beretning dokumenterer, hvad lægmanden selv har kunnet følge i medierne. Lige fra hackerangrebet på det af CSC driftede pivåbne kørekortregister til Region Midtjyllands it-tagselvbord, midtEPJ-system, hvor tidligere ansatte, piccoliner, præster og musikterapeuter har kunnet kigge med i dybt personfølsomme oplysninger om regionens patienter.”
Frit slag for sløseri – ingen snaktioner
Og der er fri bane til at sløse med disse meget vigtige systemer. Der er nemlig ingen form for ansvarspådragelse eller straf.
Datatilsynet kan pålægge private virksomheder bøder, hvis de forbryder sig mod persondataloven, mens Datatilsynet ikke har sanktionsmuligheder i forhold til offentlige myndigheder. Kritik og løftede pegefingre har ikke den store indflydelse på sjuskeriet i det offentlige.
“Offentlige myndigheder gemmer de allermest vitale og intime oplysninger om os og stadigt flere af dem – og den fortsatte digitalisering vil kun øge nødvendigheden af at passe ordentligt på dem. Til en start må Datatilsynet have magt til at komme efter offentlige myndigheder, som det kan gøre med de private virksomheder. Det kan simpelthen ikke være rigtigt, at den uholdbare sikkerhedssituation bare fortsætter uden konsekvenser og uden placering af ansvar”, skriver bladet.
“Desværre tyder alt på, at myndighederne fortsat vil kunne smide henstillinger fra Datatilsynet i papirkurven. Tilsynets bevilling blev reduceret sidste år, og i det netop fremlagte finanslovsforslag fortsætter sparekniven frem til næste årti. Den apatiske offentlige reaktion på Rigsrevisionens kritik tyder på, at den politiske magt bedøvet af virkelighedens uoverskuelighed allerede har givet op”, slutter Ingeniøren sin leder.
