Rigsrevisionen finder det utilfredsstillende, at der stadig er mangler i it-sikkerheden hos Forsvarsministeriets Materiel- og Indkøbsstyrelse. Forsvarets holdning til it-sikkerhed er skræmmende umoden, mener ekspert.

Forsvarsministeriets Materiel- og Indkøbsstyrelse (FMI) har stadig rod i it-sikkerheden. Sådan lyder kritikken ifølge Rigsrevisionens statsregnskab for 2017. I statsregnskabet står der, at ”Rigsrevisionen finder det utilfredsstillende, at Forsvarsministeriet efter fire år stadig har mangler i it-sikkerheden.”

FMI bliver blandt andet kritiseret for, at styrelsen ikke rydder ikke op i brugerkonti og ikke regelmæssigt kontrollerer, om fremmed udstyr har eller er koblet på netværket. Manglerne medfører ifølge Rigsrevisionen risiko for, at uvedkommende kan skaffe sig adgang til klassificerede oplysninger. Desuden påpeger Rigsrevisionen, at FMI stadig ikke har risikovurderet et eksternt placeret serverrum og to it-faciliteter, der skal tage over i tilfælde af nedbrud i Forsvarets eneste driftscenter.

Materiel- og indkøbsstyrelsen har ifølge revisionen oplyst, at kapaciteten i disse it-faciliteter i øvrigt ikke er god nok til at understøtte den fulde drift af de kritiske it-systemer. Det betyder, skriver Rigsrevisionen, at Forsvarets operative muligheder kan blive alvorligt svækket ved et nedbrud i it-driftscentret.

Mellemstore virksomheder har bedre it-sikkerhed end Forsvaret

Det er et problem, at FMI ikke har en fast procedure for at lukke adgang til netværk og brugerkonti, når medarbejdere stopper. Der opstår nemlig risiko for, at skadelige koder og ransomware får adgang til Forsvarets netværk. Sådan lyder vurderingen fra Peter Kruse, der er ekspert i it-sikkerhed hos CSIS Security Group.

”It-sikkerhed er supervigtigt. Især i militæret, som er et attraktivt mål for hackere. Derfor siger denne her kritik noget om Forsvarets modenhed i forhold til it-sikkerhed. Og det er bekymrende,” siger han.

Artiklen fortsætter under billedet …

Peter Kruse tilføjer, at it-sikkerhed skal ses som en proces, fordi truslen er dynamisk og konstant ændrer sig.

”Men de her kritikpunkter er it-sikkerhed på allerførste niveau. Der skulle have været styr på de her ting for flere år tilbage. Forsvarets niveau er lige nu på samme niveau som hos mellemstore virksomheder. Forsvaret er nødt til at prioritere it-sikkerheden meget mere, end det i forvejen gør. Det virker ikke som om, at man har forstået truslen. Og når Forsvaret oplever så avancerede cyberangreb, er det ret skræmmende.”

FMI: Nogle af fejlene er allerede udbedret

Henning Mortensen er formand for Rådet for Digital Sikkerhed. Han mener dog, at kritikpunkterne skal sættes ind i en kontekst:

”Rigsrevisionen kan godt have målt nogle parametre, som ikke er opfyldt. Men Forsvaret kan jo have andre sikkerhedsforanstaltninger installeret end dem, der er målt. Så det afhænger af omstændighederne, hvorvidt kritikken er berettiget eller ej. Min forestilling er, at Forsvaret har mere styr på det her, end andre har.”

Artiklen fortsætter under billedet …

Ansvaret for it-sikkerheden hos FMI ligger hos Kapacitetsansvarlig Koncern-it, som hører til under FMI. Direktør Kristian Vengsgaard siger til OLFI, at han anerkender Rigsrevisionens kritik, men tilføjer, at den skal nuanceres:

”Det er vigtigt at have med, hvad risikoen reelt kan betyde, hvis der sker noget med de her områder, der bliver kritiseret. Man vil aldrig kunne hacke sig ind til de mest klassificerede oplysninger – dem der handler om liv og død. De ligger på et helt andet og godt beskyttet netværk i Forsvaret. Det er rigtigt, at vi nok har været for sløve i forhold til at få styr på it-sikkerheden på det uklassificerede område. Men det er, fordi vi har beskyttet det vigtigste først.”

Ifølge Kristian Vengsgaard har FMI løbende rettet op på Rigsrevisionens kritikpunkter.

”Vi tager det utroligt alvorligt. Kritikken er berettiget, for der er et område, vi stadig ikke er i mål med. Det drejer sig om de redundante servere, som skal tage over, hvis en anden server bryder sammen. Det er vi stadig i gang med at forbedre.”

Center for Cybersikkerhed, som er den nationale it-sikkerhedsmyndighed, har ikke ønsket at kommentere sagen.