IT-sikkerhed halter stadig i staten
09-02-2018Der er stadig et stykke vej endnu, før alle statslige myndigheder lever op til kravene til it-sikkerhed. Styrelser og ministerier skal bl.a. blive bedre til at foretage risikovurderinger og arbejde risikobaseret med informationssikkerhed. Det viser en undersøgelse, som Digitaliseringsstyrelsen har foretaget.
Det halter stadig med it-sikkerheden hos de statslige styrelser og ministerier. Det viser en undersøgelse fra Digitaliseringsstyrelsen.
Undersøgelsen er lavet for at give større overblik over informationssikkerheden i staten og få input til, hvordan it-sikkerheden kan forbedres. Og den viser konkret, hvor langt myndighederne er kommet i arbejdet med at følge den internationale standard for it-sikkerhed ISO27001.
Og selvom det siden 2016 har været obligatorisk for statens myndigheder at følge ISO-standarden og det går fremad på området, er der fortsat plads til forbedringer:
Vi kan se, at de fleste statslige myndigheder og deres ledelser er godt i gang med arbejdet og forstår, hvor vigtig indsatsen er. Men det er også tydeligt, at der er steder, hvor der ikke er godt nok styr på it-sikkerheden. Det skal der selvfølgelig rettes op på i en fart, siger innovationsminister Sophie Løhde.
Undersøgelsen viser, at der særligt er fire områder, hvor der er behov for skærpet opmærksomhed fra myndighedernes side. Det gælder arbejdet med risikovurderinger, måling af egen informationssikkerhed samt leverandørstyring og beredskabsplaner. F.eks. viser undersøgelsen at 43 procent af myndighederne mangler at fastlægge retningslinjer for måling af sikkerheden og dermed mulighed for evaluering.
Vi skal styrke informationssikkerheden i vores ministerier og styrelser og arbejdet med ISO-standarden er en af nøglerne til det. Arbejdet bliver kun vigtigere i disse år, hvor vi desværre i stigende grad oplever, at it-kriminelle forsøger at hacke vores systemer og få adgang til vores data. Derfor er det også nødvendigt, at vi stiller krav om, at alle myndigheder arbejder systematisk med deres it-sikkerhed, siger Sophie Løhde.
Tidligere i år præsenterede regeringen en ny strategi for it-styring, som stiller større krav i forhold til den løbende vedligeholdelse og udvikling af it-systemer i staten – ikke mindst til ledelserne, som skal påtage sig et større ansvar for de statslige myndigheders it:
Der hviler et stort ansvar på ledelsernes skuldre, for arbejdet med at sikre sig mod hacker-angreb og andre former for it-kriminalitet starter på direktionsgangen. Derfor har vi også i vores strategi for it-styring forpligtet ledelserne rundt om i styrelserne og ministerierne til at engagere sig i it-arbejdet, siger Sophie Løhde.
Regeringen er desuden på vej med en ny strategi for cyber- og informationssikkerhed, og den vil også indeholde initiativer, der skal være med til at sikre, at statslige myndigheder bliver bedre til at arbejde med informationssikkerhed:
Inden længe præsenterer vi i regeringen en ny strategi for cyber- og informationssikkerhed, og den vil naturligvis også have fokus på myndighedernes arbejde med it-sikkerhed. Men det betyder bestemt ikke, at man kan sidde på hænderne indtil da. Arbejdet med it-sikkerhed stopper aldrig, og sidste års store hackerangreb har desværre vist os, at vi hele tiden skal være langt mere oppe på tæerne, siger Sophie Løhde
Læs undersøgelse af status på implementering af ISO27001-principper i staten
Fakta om undersøgelsen
- Digitaliseringsstyrelsen har gennemført en undersøgelse af de statslige myndigheders arbejde med at implementere ISO27001.
- 87 statslige myndigheder har deltaget i undersøgelsen.
- ISO27001 er en international standard, som er med til at sikre it-sikkerheden for danske myndigheder. Med ISO-standarden stilles der bl.a. krav om, at myndighederne skal arbejde med at forankre informationssikkerhed i forretningen, politikker og retningslinjer, uddannelse, risikovurdering og sikkerhedsaktiviteter.
- Det har været obligatorisk for statslige myndigheder at følge standarden siden 2016.