Leder: Rystende it-sikkerhed - mere potens til Datatilsynet

I sidste uge præsenterede Rigsrevisionen en sønderlemmende kritik af it-sikkerheden hos samtlige undersøgte institutioner: Banedanmark, Energinet.dk, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT. Ingen af dem håndterer de såkaldte administratorrettigheder professionelt, hvilket Rigsrevisionen kalder ‘kritisabelt og foruroligende’.

Administratorrettigheder betegner det højeste rettighedsniveau, og manglende kontrol med og styring af disse betyder, at kritiske statslige it-systemer bare venter på at blive misbrugt. Eller som det hedder i revisionens beretning: ‘... samfundsopgaver er udsat for alvorlige it-sikkerhedsmæssige risici, der kan true opgavernes løsning og kompromittere fortrolige data’.

Blandt eksemplerne er, at de magtfulde kodeord bliver dårligt beskyttet, kan leve i op til årtier (et har overlevet fra slutningen af forrige århundrede) og er kendt af alt for mange – også tidligere – medarbejdere. Ovenikøbet vil hackere kunne fjerne spor efter et datamisbrug, hvorfor der kan foregå omfangsrig og konstant illegal systemadgang, uden at nogen nogensinde opdager det.

I modsætning til bankverdenen, der nok skal gribe ind og blokere dit Visa/Dankort, hvis det bliver brugt til at købe smykker i Mexico, lige efter at du har handlet i Aldi, kigger ingen af myndighederne efter uventede mønstre, de såkaldte anomalier. Det betyder, at ingen kan finde ud af, om den samme IP-adresse logger ind fra Herlev og Singapore eller om natten, når sagsbehandlerne sover. Har man ondt i sinde, er det bare at angribe.

Rigsrevisionens beretning dokumenterer, hvad lægmanden selv har kunnet følge i medierne. Lige fra hackerangrebet på det af CSC driftede pivåbne kørekortregister til Region Midtjyllands it-tagselvbord, midtEPJ-system, hvor tidligere ansatte, piccoliner, præster og musikterapeuter har kunnet kigge med i dybt personfølsomme oplysninger om regionens patienter.

Datatilsynet kan pålægge private virksomheder bøder, hvis de forbryder sig mod persondataloven, mens Datatilsynet uden sanktionsmuligheder kun kan udtale kritik af offentlige myndigheder. Og kritik behøver myndigheden ikke lytte til, hvad sagen med Region Midtjylland er et godt eksempel på: Der gik flere år, før den usikre praksis med risiko for internt snageri blev stoppet.

Offentlige myndigheder gemmer de allermest vitale og intime oplysninger om os og stadigt flere af dem – og den fortsatte digitalisering vil kun øge nødvendigheden af at passe ordentligt på dem. Til en start må Datatilsynet have magt til at komme efter offentlige myndigheder, som det kan gøre med de private virksomheder. Det kan simpelthen ikke være rigtigt, at den uholdbare sikkerhedssituation bare fortsætter uden konsekvenser og uden placering af ansvar.

Desværre tyder alt på, at myndighederne fortsat vil kunne smide henstillinger fra Datatilsynet i papirkurven. Tilsynets bevilling blev reduceret sidste år, og i det netop fremlagte finanslovsforslag fortsætter sparekniven frem til næste årti. Den apatiske offentlige reaktion på Rigsrevisionens kritik tyder på, at den politiske magt bedøvet af virkelighedens uoverskuelighed allerede har givet op.

Emner : It-sikkerhed