Nye anbefalinger skal styrke it-sikkerheden i statens outsourcede it-drift

Myndighederne har siden sikkerhedsbruddet hos CSC sidste år arbejdet på en udredning og fremadrettede anbefalinger med den hensigt at styrke it-sikkerheden hos danske myndigheder. Nu er udredningsarbejdet færdiggjort med to afsluttende rapporter. Formålet med rapporterne har været at sikre både en fyldestgørende undersøgelse af sikkerhedsbruddet samt at give en række konkrete anbefalinger til styrkelse af danske myndigheders it-sikkerhed.

Rapporten om selve angrebet mod CSC (Rapport II) er udarbejdet af Center for Cybersikkerhed og PET og giver en detaljeret beskrivelse af selve sikkerhedsbruddet hos CSC. Rapporten bygger videre på Center for Cybersikkerheds foreløbige rapport om sikkerhedsbruddet fra 2013 (Rapport I). Rapport II besvarer spørgsmålene om, hvad der skete, hvordan det skete, og hvilke konsekvenser sikkerhedsbruddet havde. Rapporten offentliggøres af hensyn til den verserende politimæssige efterforskning ikke, men de indhøstede erfaringer danner grundlag for en rapport med anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift (Rapport III).

Af Rapport II fremgår det, at sikkerhedsbruddet vurderes som en af de hidtil alvorligste kompromitteringer af it-systemer i Danmark. Rapporten konkluderer, at en eller flere personer har haft adgang til – og mulighed for – at tilgå, kopiere, slette og ændre i flere myndigheders data hos CSC. Samtidig slås det fast, at der med sikkerhed er kopieret data fra politiets systemer, mens det om dataintegriteten i myndighedernes systemer konkluderes, at det ikke er sandsynligt, at der er sket ændringer af data.

Rapporten med anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift (Rapport III) er udarbejdet af Center for Cybersikkerhed og Digitaliseringsstyrelsen. Anbefalingerne skal være med til at styrke sikkerheden i statens outsourcede it-drift, og de er dermed et vigtigt grundlag for arbejdet med at undgå lignende sager i fremtiden. Rapporten offentliggøres på cfcs.dk og digst.dk.

Det centrale budskab i Rapport III er, at myndighederne skal kende til trusselbilledet og med det udgangspunkt løbende vurdere sikkerhedsniveauet hos leverandørerne og sikre opretholdelse af sikkerhedsniveauet. Det forudsætter, at myndighederne etablerer passende interne sikkerhedsorganisationer og deler viden om sikkerhedsspørgsmål med hinanden.

De to afsluttende rapporter oversendes til Folketinget.

”Rapporterne bygger på analyser af meget omfattende datamængder og it-sikkerhedstekniske undersøgelser, og jeg mener, at politiet og de øvrige involverede myndigheder med disse rapporter har fået en grundig analyse af sikkerhedsbruddet hos CSC og de erfaringer, der er gjort i den forbindelse. Rapporterne ledsages af en række anbefalinger, der skal gøre myndighederne bedre i stand til at modgå lignende sikkerhedsbrud,” siger forsvarsminister Nicolai Wammen.