Fem ansatte hos Statens It er oplagt hackermål: "De kan få adgang til at se og gøre stort set alt"

Statens It strammer overvågning af ansatte efter kritik af svagheder ved Udbetaling Danmark og statsligt økonomisystem.

Rigsrevisionen påtaler væsentlige svagheder i Statens Its drift af Udbetaling Danmark og Navision Stat. (Foto: Mads Rafte Hein © DR Nyheder)

Hos Statens It sidder fem medarbejdere, som ifølge Rigsrevisionen har fået alt for fri adgang til store, statslige it-systemer.

Medarbejderne kan komme så vidt omkring i Udbetaling Danmark og økonomistyringssystemet Navision Stat, at de dels har øget mulighed for at svindle og dels er oplagte mål for hackere, vurderer eksperter i it-sikkerhed.

For jo flere it-rettigheder, medarbejderne har, jo tættere kan de populært sagt komme på deres arbejdsplads' kronjuveler.

- Vi har fundet væsentlige svagheder ved Statens Its drift af infrastrukturen og it-miljøet, konkluderer Rigsrevisionen i to rapporter, som DR Nyheder har fået aktindsigt i.

Kan slette data og spor

Rigsrevisionen har gentagne gange påtalt, at der rundt omkring i det offentlige bliver sløset med tildelingen af udvidede adgange til statslige it-systemer og at det, samt manglende kontrol, øger risikoen for økonomisk svig.

Det er også et af omdrejningspunkterne i den store svindelsag fra socialområdet, hvor den 64-årige kontorfuldmægtig Britta Nielsen er mistænkt for at have misbrugt sin adgang til offentlige systemer til at stjæle 121 millioner kroner fra sin arbejdsplads.

De fem ansatte hos Statens It er ikke mistænkt for at have svindlet.

Rigsrevisionen påpeger alene, at det er kritisabelt, at medarbejderne kan misbruge deres adgang til at redigere eller slette data og til at slette sporene efter sig, da de har kunnet slå logningen af deres digitale handlinger fra.

Det er bestemt også uhensigtsmæssigt, vurderer lektor og ekspert i it-sikkerhed Søren Debois fra IT Universitetet.

- Hvis medarbejdere har rettigheder til for mange ting, bliver det nemmere for dem at snyde. Hvis de både kan lave en faktura, godkende den og sende den til udbetaling, er det for eksempel nemt for dem at skaffe sig nogle penge, siger han.

Hackere kan overtage adgangen

Rigsrevisionens kritik skal tages alvorligt, vurderer chefanalytiker Jens Christian Høy Monrad fra det internationale it-sikkerhedsfirma Fireeye, som efterforsker cyberangreb.

- Hvis en medarbejder med den slags privilegier bliver kompromitteret, kan hackerne overtage privilegierne og få adgang til at se og gøre stort set alt, siger han.

Jens Christian Høy Monrad fortæller, at Danmark er et interessant mål for hackere, der arbejder for andre stater, fordi vi er et af de mest digitaliserede lande i verden.

Derfor ligger meget af vores samfundskritiske information digitalt, og de data kan hackere sælge på undergrundsmarkeder eller bruge til at styrke deres eget land.

Statens It er ifølge it-sikkerhedseksperterne også i sig selv et interessant mål. For hvis hackerne kan trænge ind i ét system her, kan de forsøge at komme videre til andre systemer med dyrebare informationer.

- Når man centrerer digitale tjenester og forskellige ministerier omkring én silo, så er det der, vi vil se flest angreb, siger Jens Christian Høy Monrad.

Beholder rettighederne

Efter kritikken fra Rigsrevisionen har Statens It rettet op på en række punkter.

Men medarbejderne med de mange privilegier er ikke blevet frataget deres rettigheder, og det har Statens It heller ikke planer om at gøre.

Spørger man Søren Debois fra IT Universitetet, er der dog god grund til at se på, om sikkerheden kan forbedres yderligere.

- Når man samler driften af den statslige it ét sted, bør det være topklasse. Det er ikke topklasse at have superbrugere, som har så udvidet adgang, at Rigsrevisionen finder det betænkeligt, siger han.

Statens It strammer sikkerheden

Statens It kan ikke kommentere detaljeret på de sikkerhedstiltag, der beskytter systemerne mod misbrug og hackerangreb.

Direktør Michael Ørnø påpeger dog, at Politiets Efterretningstjeneste har sikkerhedsgodkendt medarbejderne, og at der bliver holdt øje med, om de for eksempel logger på systemerne på usædvanlige tidspunkter.

Derudover er der intern og ekstern kontrol, hvor Rigsrevisionen, EU, Finansministeriet og et certificeringsorgan inden for informationssikkerhed kigger Statens It efter i sømmene.

Efter Rigsrevisionens kritik vil det nu også blive registreret, hvad medarbejderne laver, når de har de udvidede rettigheder i brug.

- Det er selvfølgelig teoretisk set muligt, at de fem medarbejdere ville være i stand til at lave noget forkert, med de rettigheder de har. Men der er så mange andre lag sikkerhed, at det vil være meget naivt at tro, at de ville kunne slippe af sted med det, siger Michael Ørnø.

Minister: Der skal ryddes op

Der vil altid være medarbejdere, som er nødt til at have udvidede adgange for at kunne passe deres job, påpeger minister for offentlig innovation Sophie Løhde (V), som Statens It hører under.

Men kontrollen med offentligt ansattes brugeradgange skal generelt forbedres, tilføjer hun:

- Det er beklageligt og ikke mindst kritisabelt, at statslige myndigheder ikke har haft ordentligt styr på tildelingen af brugerrettigheder. Det skal der selvfølgelig ryddes op i over alt i staten, og det er der rigtig mange myndigheder, der er i fuld gang med nu og her.

I videoen herunder kan du høre, hvordan hackere typisk angriber.

Facebook
Twitter