'Lyder som en dårlig undskyldning': Vagthund mangler stadig svar efter hård kritik af statens IT-sikkerhed

Efter at rigsrevisionen i november pegede på alvorlige brister i statens beredskab, har et ministerium stadig ikke svaret.

Rigsrevisionen har konstateret meget alvorlige sikkerhedsbrister i 13 samfundskritiske systemer. Illustration: Søren WInther Nørbæk

Det var langt fra hverdagskost, da statsrevisorerne den 4. november kom med en særdeles hård kritik at statens beredskab for samfundskritiske it-systemer.

Intet mindre end 13 hemmeligholdte samfundskritiske it-systemer fik påpeget alvorlige fejl og mangler - blandt andet på baggrund af manglende beredskab for, hvordan man genskaber systemerne efter et nedbrud.

- Konsekvensen af manglende it-beredskaber er, at der er risiko for, at it-nedbrud og datatab medfører, at staten ikke kan opretholde eller markant får forstyrret samfundskritiske opgaver, lød det dengang fra Statsrevisorerne.

Opfordrede ministerier til at skynde sig

Samtidig var problemerne så grelle, at statsrevisorerne opfordrede alle berørte - og hemmeligholdte - ministerier til ekstraordinært at komme med en redegørelse tidligere end, hvad det normalt er praksis.

- Selv om ministeriernes svarfrist er lovbestemt til mindst to måneder, finder Statsrevisorerne, at de ansvarlige ministre bør komme med deres redegørelse hurtigst muligt og helst inden en måned, da Rigsrevisionen har konstateret meget alvorlige sikkerhedsbrister i de 13 samfundskritiske systemer, lød det.

Det gjorde de pågældende ministerier bare ikke, oplyser Statsrevisorernes Sekretariet til DR Nyheder.

Selvom Statsrevisorerne havde opfordret ministerierne til hurtigt at komme med en redegørelse, så havde de den 9. januar, der var den officielle tomåneders frist for afleveringen af redegørelserne, ikke modtaget andet end ønsker om at få udsat fristen for redegørelserne.

Derfor forlængede man fristen til den 23. januar - altså i går.

Alligevel kan Statsrevisorernes sekretariat oplyse til DR Nyheder, at man fortsat mangler en redegørelse fra et ministerium.

Umiddelbart efter kritikken fra statsrevisorerne blev der også sendt et brev rundt til samtilige ministerier med en opfordring til, at man undersøgte sine egne it-systemer.

Techkorrespondent ser to mulige forklaringer

DR's techkorrespondent Henrik Moltke står tilbage med to mulige forklaringer på, hvorfor ministerierne har måtte forlænge fristerne og i et tilfælde ikke har overholdt den.

- Enten er der nogle så alvorlige problemer, som man simpelthen ikke kan løse her og nu, og så prøver man måske at trække tiden.

- Eller også tager man så løst på det her problem, at man ikke engang får svaret på henvendelse fra statsrevisorerne, siger Henrik Moltke.

Svar på DR Nyheders aktindsigt i, hvilke 83 samfundskritiske systemer, der er i Danmark.

Ifølge Gitte Korff, der er sekretariatschef hos Statsrevisorernes sekretariat, gav man fristudsættelserne på baggrund af "behov for mere tid som følge af valg og regeringsdannelse".

Er det rimeligt at vente så længe med henvisning til regeringsskifte, når man tager det nuværende trusselsbillede, cyberangreb og krigen i Ukraine i betragtning?

- Fristforlængelsen er ikke ensbetydende med, at myndighederne ikke har arbejdet for at styrke it-beredskabet. Vi går ud fra, at der er arbejdet med problemstillingerne, så snart de var kendt, lyder det skriftlige svar fra Gitte Korff.

Sikkerhedsekspert: 'Det lyder som en dårlig undskyldning'

Den forklaring giver teknisk chef i it-sikkerhedsfirmaet Dubex og medlem af cybersikkerhedsrådet, Jacob Herbst, dog ikke meget for.

- Det lyder som en dårlig undskyldning.

- Hvis man læser den kritik, der kom fra statsrevisorerne i november, så er den nok noget af det mest alvorlige, jeg nogensinde har set.

- Og at man så som offentlige myndighed i løbet af to en halv måned ikke engang formår at lave en plan for, hvordan man retter op på det her virker fuldstændigt hen i vejret, siger Jacob Herbst.

Han understreger samtidig, at ministerierne ikke er blevet bedt om at forbedre fejlene, men alene om at komme med en plan for, hvordan man vil forbedre dem.

Med henvisning til rigets sikkerhed, har det ikke været muligt for DR Nyheder at få svar på, hvilket ministerier, der er tale om.

Hos Statsrevisorerne fortæller Gitte Korff, at man dropper hemmeligholdelsen, så snart det er muligt.

- Det ligger både Statsrevisorerne og Rigsrevisionen på sinde, at fortroligheden ophæves, så snart det er muligt. Statsrevisorerne har derfor bedt ministerierne om at redegøre for, på hvilket grundlag ministerredegørelserne er fortrolige og løbende vurdere, hvornår fortroligheden kan ophæves, lyder det fra hende.

Har I nogensinde før hemmeligholdt, hvilke ministerier der blev undersøgt?

- Nej, det er første gang, at Rigsrevisionen har valgt at afgive en beretning til Statsrevisorerne i fortrolig form.

Korrespondent peger på tre ømme punkter

Tech-korrespondent Henrik Moltke vurderer derimod, at hemmelighedskræmmeriet kan blive en belastning for Danmarks sikkerhed.

- Jeg vurderer, at der er en vis risiko for at hemmeligholdendelsen forsinker nogle svære men nødvendige beslutninger og opgraderinger, og dermed skader rigets sikkerhed. For vi har simpelthen godt af at tage debatten om det her, siger han og fortsætter:

- Vi ved ikke, hvem det er denne gang. Men det er jo velkendt fra tidligere rapporter, at Forsvaret har nogle gamle såkaldte legacy systemer. Det samme gælder politiet, der ligger hos Justitsministeriet. Og endelig har Finansministeriet mange kritiske systemer, som måske også kan være svære at føre op til en moderne sikkerhedsstandard.

I alt er 83 it-systemer bedømt til at være samfundskritiske af Rigsrevisionen.