Center for Cybersikkerhed, den danske myndighed for it-sikkerhed, har i flere år ikke levet op til de sikkerhedskrav, de selv stiller til andre offentlige myndigheder.

Det skriver Politiken på baggrund af to årsrapporter fra Tilsynet med Efterretningstjenester.

- Det er noget, der bør give anledning til bekymring, for Center for Cybersikkerhed ligger inde med rigtig mange oplysninger, siger Jesper Lund fra IT-Politisk Forening, som er en interesseorganisation, der arbejder for borgernes rettigheder i informationssamfundet.

Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste, har lov til at overvåge den elektroniske kommunikation mellem offentlige myndigheder som ministerier og regioner og tilknyttede private virksomheder. Centeret ligger dermed inde med følsomme oplysninger om sundhedsdata, forskning og økonomi.

- Det er meget væsentligt, at Center for Cybersikkerhed beskytter de indsamlede oplysninger mod kriminelle hackere og fremmede efterretningstjenester, siger Jesper Lund, der samtidig understreger, at det ikke er kommet frem præcis, hvor fejlene ligger, da oplysninger om Center for Cybersikkerhed er hemmelighedsstemplede.

- I og med at Center for Cybersikkerhed har så mange følsomme oplysninger, er det et problem, at de ikke lever op til de her sikkerhedsregler.

Dumper på fem ud af 38

Ifølge Politiken er det den internationale it-sikkerhedsstandard ISO27001, som centeret ikke lever op til.

Standarden er en tjekliste for god it-sikkerhed, der eksempelvis angiver, hvordan man beskytter netværk mod hackere eller laver back-up, så man ikke mister data.

Center for Cybersikkerhed blev testet på 38 af standardens i alt 114 kontrolparametre og dumpede i 2015 på ni parametre og året efter på fem.

Forsvarets Efterretningstjeneste forklarer over for Politiken, at "Omlægningen til ISO27001-standarden tager tid blandt andet på grund af kompleksiteten i den eksisterende it-portefølje".