Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014

Relaterede dokumenter
Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Finansudvalget FIU Alm.del Bilag 5 Offentligt 3/2013

Beretning til Statsrevisorerne om forebyggelse af hackerangreb. Oktober 2013

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

December Cyberforsvar der virker. Cyberforsvar, der virker

NKOR 2015 Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel

Cyberforsvar der virker

/2017. November Rigsrevisionens beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

Maj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata

Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

/2017. Februar Rigsrevisionens beretning om beskyttelse mod ransomwareangreb

Universiteternes beskyttelse af forskningsdata

Rigsrevisionens notat om beretning om styring af it-sikkerhed hos it-leverandører

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Notat til Statsrevisorerne om beretning om brugerinddragelse og brugervenlighed i offentlige digitale løsninger. Februar 2014

Notat til Statsrevisorerne om beretning om Bygningsstyrelsens anvendelse af totaløkonomi i statslige byggeprojekter. November 2014

Kl Indledning v. Lone Strøm, Rigsrevisor

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Notat til Statsrevisorerne om beretning om ændringen af støtten til solcelleanlæg. Januar 2015

Center for Cybersikkerheds beretning Center for Cybersikkerheds beretning 2014

Finansministerens redegørelse vedrørende Statsrevisorernes bemærkninger til Rigsrevisionens beretning om revision af statsregnskabet for 2013

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Notat til Statsrevisorerne om beretning om revisionen af EU-midler i Danmark i Januar 2015

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Notat til Statsrevisorerne om beretning om problemerne med at udvikle og implementere Fælles Medicinkort. Februar 2015

Notat til Statsrevisorerne om beretning om Danmarks indsats i Arktis. Marts 2014

Rigsrevisionens notat om beretning om. Bygningsstyrelsens anvendelse af totaløkonomi i statslige byggeprojekter

Rigsrevisionens notat om beretning om brugervenlighed og brugerinddragelse. digitale løsninger

Sundhedsministerens redegørelse til Statsrevisorerne vedr. Rigsrevisionens beretning nr. 11/2017 om beskyttelse mod ransomwareangreb

Notat til Statsrevisorerne om beretning om effekten af regelforenklingsindsatsen. August 2011

Notat til Statsrevisorerne om beretning om statens brug af konsulenter. December 2014

Resultatplan KORA - Det Nationale Institut for Kommuners og Regioners Analyse og Forskning 2017

Notat til Statsrevisorerne om beretning om Forsvarets indkøb af større materiel. Maj 2010

Notat til Statsrevisorerne om beretning om samlingen af den statslige lønadministration i Finansministeriet. August 2015

Notat til Statsrevisorerne om beretning om revisionen af EU-midler i Danmark i Marts 2012

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Finansministerens redegørelse for beretning om revision af statsregnskabet

Notat til Statsrevisorerne om beretning om a-kassernes rådighedsvurderinger. Maj 2008

Forsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt

Notat til Statsrevisorerne om beretning om a-kassernes rådighedsvurderinger. Maj 2012

November Rigsrevisionens notat om beretning om. besparelsespotentialet ved obligatorisk Digital Post på ca. 1 mia. kr.

Notat til Statsrevisorerne om beretning om handicapindsatsen på uddannelses- og beskæftigelsesområdet. Marts 2012

Notat til Statsrevisorerne om beretning om statens planlægning og koordinering af beredskabet for større ulykker og katastrofer.

Resultatplan SFI - Det Nationale Forskningscenter for Velfærd 2017

It-revision af Sundhedsdatanettet januar 2016

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Notat til Statsrevisorerne om beretning om administrationen af CO 2. -kvoteregisteret. Juni 2012

Rigsrevisionens notat om beretning om togenes punktlighed

April Rigsrevisionens notat om beretning om. samlingen af den statslige lønadministration i Finansministeriet

RIGSREVISIONEN København, den 10. maj 2006 RN A403/06

Notat til Statsrevisorerne om beretning om effekten af regelforenklingsindsatsen. Maj 2014

Torben Waage Partner

RIGSREVISIONEN København, den 16. november 2005 RN A307/05

/2016. November Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører

Rigsrevisionens notat om beretning om ministeriernes aktstykker om investeringsprojekter til Folketingets Finansudvalg

Notat til Statsrevisorerne om beretning om a-kassernes rådighedsvurderinger. August 2010

Notat til Statsrevisorerne om beretning om sygehusenes økonomi i Juni 2011

Notat til Statsrevisorerne om uregelmæssigheder i projektforvaltningen. Menneskerettigheder. Februar 2012

Rigsrevisionens notat om beretning om samlingen af den statslige lønadministration i Finansministeriet

Notat til Statsrevisorerne om beretning om det digitale tinglysningsprojekt. Marts 2013

Finansministerens redegørelse vedrørende Statsrevisorernes beretning nr. 23/2014 til Rigsrevisionens beretning om revision af statsregnskabet for 2014

Notat til Statsrevisorerne om beretning om mål, resultater og opfølgning på kræftbehandlingen. Februar 2015

Rigsrevisionens notat om beretning om problemerne med at udvikle og implementere Fælles Medicinkort

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

Rigsrevisionens notat om beretning om staten som selskabsejer

MINISTERREDEGØRELSE TIL BERETNING NR. 23/2014 OM REVISIONEN AF STATSREGN- SKABET FOR 2014

Rigsrevisionens notat om beretning om SKATs kontrol og vejledning på toldområdet

Notat til Statsrevisorerne om beretning om DONG Energy A/S. September 2015

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Rigsrevisionens notat om beretning om energibesparelser i staten

Notat til Statsrevisorerne om beretning om revisionen af statsregnskabet for Marts 2011

folketingets statsrevisorer en præsentation

Notat til Statsrevisorerne om beretning om udviklingsbistanden til Bhutan og Bangladesh. Februar 2010

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Notat til Statsrevisorerne om beretning om forvaltningen af eksterne lektorers og undervisningsassistenters. November 2015

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Notat til Statsrevisorerne om beretning om revisionen af EU-midler i Danmark i Marts 2011

H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET

RIGSREVISIONEN København, den 28. juni 2005 RN B103/05

DANMARKS NATIONALBANK CYBERROBUSTHED I DEN FINANSIELLE SEKTOR

Notat til Statsrevisorerne om beretning om Finanstilsynets aktiviteter i forhold til Roskilde Bank A/S. November 2009

Notat til Statsrevisorerne om beretning om ansøgningspuljer med en afgrænset ansøgerkreds. December 2015

Evaluering af GovCERT-loven

Introduktion Anvendelsen af standarderne for offentlig revision. Standarderne. for offentlig

Notat til Statsrevisorerne om beretning om staten som selskabsejer. December 2015

Notat til Statsrevisorerne om beretning om SKATs fusion af inddrivelsesområdet. Februar 2015

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

FSOR. Årsberetning 2016 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED

RIGSREVISIONEN København, den 14. marts 2006 RN A203/06

Jeg er blevet bedt om at redegøre for årsagerne til merforbruget, som er beskrevet i det aktstykke, som jeg har fremsendt til Finansudvalget.

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Notat til Statsrevisorerne om beretning om mål, resultater og opfølgning på kræftbehandlingen. Oktober 2013

Notat til Statsrevisorerne om beretning om sygehusenes økonomi i Marts 2013

Transkript:

Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014

Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte statsrevisorer Rigsrevisionen rigsrevisor 2

august 2014 4

Hvorfor bragte Rigsrevisionen dette område i fokus ved en beretning? Vi ville sætte it-sikkerhed på dagsordenen hos beslutningstagerne i staten (fx departementschefer og styrelsesdirektører), højne den generelle forståelse for, at der ved 3 enkle og billige tiltag*) kan opnås en rimelig it-sikkerhed, og Vi antog at undersøgelsens resultater kunne være gældende for en større kreds af statslige virksomheder end de netop undersøgte *(teknisk begrænsning af download af programmer fra internettet (alt. whitelisting), begrænsning af brugen af lokaladministratorer, systematisk sikkerhedsopdatering af programmer). 5

Hackerberetningen Spørgsmål 1 - Følger de udvalgte virksomheder god praksis for at minimere risikoen for angreb fra internettet (de 3 tiltag)? 6

Hackerberetningen Spørgsmål 2 - Har Statens It håndteret risikoen for, at et hackerangreb på én virksomhed med utilstrækkelige sikringstiltag kan sprede sig til andre virksomheder, fx via de delte services (fælles løsninger)? Statens It havde ikke vurderet risikoen for, at et hackerangreb på én virksomhed kan kompromittere it-sikkerheden i andre virksomheder, der er tilsluttet Statens It udført test, som viste, om et angreb på én virksomhed kan kompromittere andre virksomheders it-systemer inden for driftscentret. begrænset anvendelsen af domæneadministratorrettigheder, som udgør en væsentlig risiko i relation til et eventuelt hackerangreb. 7

Hackerberetningen Spørgsmål 3 - Er risikoen ved eventuelt at fravige god praksis beskrevet i virksomhedernes risikovurdering? Ingen af de 4 virksomheder havde i deres risikovurdering begrundet eller vurderet risikoen ved ikke at følge god praksis, dvs. teknisk begrænse download af programmer fra internettet begrænse brugen af lokaladministratorer og domæneadministratorer systematisk sikkerhedsopdatere programmer. 8

Hackerberetningen Rigsrevisionen anbefaler, at Alle statslige virksomheder forholder sig risikoen for hackerangreb i deres risikovurdering, herunder om de i tilstrækkelig grad teknisk har begrænset download af programmer fra internettet har begrænset brugen af lokaladministratorer, systematisk sikkerhedsopdaterer anvendte programmer mv. Finansministeriet præciserer opgavesplittet ml. Statens It og virksomhederne, hvad angår sikring mod hackerangreb. Finansministeriet v. Digitaliseringsstyrelsen eller Forsvarsministeriet ved Center for Cybersikkerhed udarbejder en vejledning til alle statslige virksomheder om, hvilke sikringstiltag en statslig virksomhed bør overveje for at imødegå aktuelle trusler om hackerangreb. 9

Statsrevisormøde og Rigsrevisionens opfølgning Hård kritik fra Statsrevisorerne 9. oktober 2013 Stor mediebevågenhed oktober 2013 Vejledning fra Digitaliseringsstyrelsen og Center for Cybersikkerhed om forebyggelse af hackerangreb Cyberforsvar der virker, december 2013. Ministersvar finansministeren og klima-, energi- og bygningsministeren fyldestgørende redegørelse for initiativer, der kan styrke forebyggelsen af hackerangreb, januar 2014. Rigsrevisionens svar til Statsrevisorerne i februar 2014 om vores opfølgning: Statens It: initiativer, der kan hindre af spredning af hackerangreb (tilsluttede kunder) klarhed i kundeaftalerne om opgavesplit, hvad angår sikring mod hackerangreb. Kommende års it-revisioner bl.a. fokus på om virksomhederne implementerer system for it-sikkerhedsstyring (ISO 27001) følger anbefalingerne i Cyberforsvar der virker. 10

Henvisninger Beretning om revisionen af statsregnskabet for 2012 http://www.rigsrevisionen.dk/media/1943109/rs-2012.pdf Australian Government, Department of Defence, Intelligence and Security, The Defence Signals Directorate (2012): Strategies to Mitigate Targeted Cyber Intrusions: www.dsd.gov.au/publications/top_35_mitigations_2012.pdf British Government Communications Headquarters, Communications-Electronics Security Group (2012): 10 steps to Cyber Security: www.bis.gov.uk/assets/biscore/businesssectors/docs/0-9/12-1121-10-steps-to-cyber-security-advice-sheets SANS Institute (2013): Critical Controls for Effective Cyber Defence: www.sans.org/critical-security-controls/cag4-1.pdf Center for Cybersikkerhed har sammen med Digitaliseringsstyrelsen udgivet en ny vejledning med en prioriteret køreplan for, hvordan risikoen for cyberangreb kan mindskes. Vejledningen henvender sig primært til ledelsesniveauet hos offentlige myndigheder og private virksomheder og hedder: Cyberforsvar der virker og kan hentes på www.digst.dk udgivet i december 2013. 11

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback