Forsvarsministerium har misvedligeholdt IT-sikkerhed

I tre år har Forsvarsministeriets ikke fulgt op på kritik fra Rigsrevisionen om manglende IT-sikkerhed.
Forsvarsministeriet bliver kritiseret i ikke så milde vendinger i Rigsrevisionens gennemgang af statsregnskabet for 2016.

Rigsrevisionen tager nemlig fat i et problem, der stammer helt tilbage fra 2014: Forsvarsministeriets afdeling for IT, Koncern IT, har ikke risikovurderet og dokumenteret relevante trusler mod deres IT-system, og har heller ikke gennemført beredskabsøvelser. Det kan betyde, at Forsvarsministeriet ikke er tilstrækkeligt beskyttet, hvis de bliver angrebet.

Forsvarsminister Claus Hjort Frederiksen (V) udtalte ved et samråd om cybersikkerhed den 13. juni, at “Vi ser angreb rettet mod vores viden og idéer i form af cyberspionage. [...] Og mod samfundsvigtige funktioner i form af hackerangreb, der vil kunne lægge vitale funktioner i vores samfund ned.Det skal både offentlige og private ledere tage alvorligt og sætte sig ind i.”

Den kritik møder hans eget ministerium nu.

I Rigsrevisionens beretning står der, at  den manglende risiko- og trusselsvurdering samt beredskabsøvelserne “øger risikoen for, at beredskabsplanen ikke fungerer i en beredskabssituation, og at de relevante personer ikke kan træffe vigtige beslutninger om, hvordan nøddrift kan etableres. Rigsrevisionen finder det utilfredsstillende, at Forsvarsministeriet efter 3 år endnu ikke har rettet op på mangler.”

Forsvarsministeriet anerkender risici og følger op
Ved henvendelse fra Netavisen Pio, lyder det fra Forsvarsministeriet, at den manglende IT-sikkerhed kan øge risikoen for, at ministeriet ikke er tilstrækkeligt beskyttet mod angreb. “Forsvarsministeriet er enig med Rigsrevisionen i, at konsekvenserne kan være øget risiko for, at man ikke er tilstrækkeligt beskyttet mod nedbrud i tilfælde af angreb, der kan medføre længerevarende systemnedbrud. Derfor følger Forsvarsministeriet også op.”

I foråret blev det afsløret, at medarbejdere i Forsvaret havde fået hacket deres mails over 2 år af en russisk hacker-gruppe ved navn “Fancy Bear”.

Forsvarsministeriet understreger dog, at sagerne om russisk hacking ikke havde grobund i nedbrud, men derimod udefrakommende, der har tiltvunget sig adgang. “Sagen om mil.dk handlede ikke om nedbrud, men om at uvedkommende tiltvang sig adgang til nogle af vores medarbejderes mails,” skriver presserådgiver Linda Liboriussen i en mail til Netavisen Pio.

Planerne, der forsvandt
Tilbage i 2015 var Forsvarsministeriet genstand for samme kritik, og der lød det fra daværende forsvarsminister Peter Christensen i et svar til Rigsrevisionen:

“Jeg kan oplyse, at Forsvarets Koncernfælles Informatiktjeneste i foråret 2015 har udarbejdet en plan for implementering af nødvendige tiltag, der skal medvirke til, at der bliver rettet op på de forhold, som Rigsrevisionen fandt kritisable. Væsentlige dele af disse tiltag er allerede implementeret, og implementeringen af øvrige tiltag følger denne plan. Det er forventningen, at alle væsentlige kritikpunkter i planen for opfølgning på revisionen afsluttes i løbet af 2. halvår 2016.”

Men ifølge den seneste gennemgang fra Rigsrevisionen er der altså stadig ikke fulgt op på kritikken.

Omlægninger i styrelserne
Koncern IT, som kritiseres af Rigsrevisionen for den manglende IT-sikkerhed, var tilbage i 2014 en del af forsvarskommandoen. Men ved seneste forsvarsforlig lavede man en omlægning af organisationerne, og flyttede store dele af forsvarskommandoen til Forsvarsministeriet som selvstændige styrelser. I dag findes Koncern IT under Materiel- og Indkøbsstyrelsen, som står for logistikken af indkøb af materiel til Forsvaret, men også eksempelvis Forsvarets interne IT.

 

Line Sofie Gluud er student på Netavisen Pio.


Flere artikler om emnet

Annonce