Den 7. oktober 2015 behandlede Statsrevisorerne
Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:
"Alle it-systemer kan tilgås med udvidede administratorrettigheder, som betegner det højeste niveau af rettigheder, adgang og kontrol over it-systemer og data. Mangelfuld styring og kontrol af de udvidede administratorrettigheder betyder, at personer uretmæssigt kan få adgang til statslige institutioners it-systemer og data. Det medfører risiko for spionage og øget trussel fra kriminelle eller politisk motiverede hackere eller fra ansatte, der ubevidst eller bevidst bryder sikkerheden. Konsekvensen kan fx være tyveri af data eller infektion med skadelig software.
I beretningen har Rigsrevisionen opstillet 16 kriterier til, hvordan de udvidede administratorrettigheder, der giver adgang til statslige it-systemer, bør håndteres. På baggrund af disse kriterier er det undersøgt, hvordan 6 institutioner med samfundsvigtige opgaver styrer, kontrollerer og logger de udvidede administratorrettigheder. De 6 institutioner er Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT.
Statsrevisorerne finder det kritisabelt og foruroligende, at en række samfundsvigtige opgaver er udsat for alvorlige it-sikkerhedsmæssige risici, der kan true opgavernes løsning og kompromittere fortrolige data.
Statsrevisorerne fremhæver, at ingen af de 6 undersøgte institutioner har håndteret de udvidede administratorrettigheder med den nødvendige professionalisme. Institutionerne har derfor ikke efterlevet en række anerkendte anbefalinger om god it-sikkerhedspraksis til beskyttelse af adgangen til it-systemer og data.
Statsrevisorerne finder det tilfredsstillende, at institutionerne har oplyst, at de har gennemført kompenserende foranstaltninger og er i færd med at planlægge, igangsætte og gennemføre tiltag, der skal rette op på de konstaterede mangler."