Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014
Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte statsrevisorer Rigsrevisionen rigsrevisor 2
august 2014 4
Hvorfor bragte Rigsrevisionen dette område i fokus ved en beretning? Vi ville sætte it-sikkerhed på dagsordenen hos beslutningstagerne i staten (fx departementschefer og styrelsesdirektører), højne den generelle forståelse for, at der ved 3 enkle og billige tiltag*) kan opnås en rimelig it-sikkerhed, og Vi antog at undersøgelsens resultater kunne være gældende for en større kreds af statslige virksomheder end de netop undersøgte *(teknisk begrænsning af download af programmer fra internettet (alt. whitelisting), begrænsning af brugen af lokaladministratorer, systematisk sikkerhedsopdatering af programmer). 5
Hackerberetningen Spørgsmål 1 - Følger de udvalgte virksomheder god praksis for at minimere risikoen for angreb fra internettet (de 3 tiltag)? 6
Hackerberetningen Spørgsmål 2 - Har Statens It håndteret risikoen for, at et hackerangreb på én virksomhed med utilstrækkelige sikringstiltag kan sprede sig til andre virksomheder, fx via de delte services (fælles løsninger)? Statens It havde ikke vurderet risikoen for, at et hackerangreb på én virksomhed kan kompromittere it-sikkerheden i andre virksomheder, der er tilsluttet Statens It udført test, som viste, om et angreb på én virksomhed kan kompromittere andre virksomheders it-systemer inden for driftscentret. begrænset anvendelsen af domæneadministratorrettigheder, som udgør en væsentlig risiko i relation til et eventuelt hackerangreb. 7
Hackerberetningen Spørgsmål 3 - Er risikoen ved eventuelt at fravige god praksis beskrevet i virksomhedernes risikovurdering? Ingen af de 4 virksomheder havde i deres risikovurdering begrundet eller vurderet risikoen ved ikke at følge god praksis, dvs. teknisk begrænse download af programmer fra internettet begrænse brugen af lokaladministratorer og domæneadministratorer systematisk sikkerhedsopdatere programmer. 8
Hackerberetningen Rigsrevisionen anbefaler, at Alle statslige virksomheder forholder sig risikoen for hackerangreb i deres risikovurdering, herunder om de i tilstrækkelig grad teknisk har begrænset download af programmer fra internettet har begrænset brugen af lokaladministratorer, systematisk sikkerhedsopdaterer anvendte programmer mv. Finansministeriet præciserer opgavesplittet ml. Statens It og virksomhederne, hvad angår sikring mod hackerangreb. Finansministeriet v. Digitaliseringsstyrelsen eller Forsvarsministeriet ved Center for Cybersikkerhed udarbejder en vejledning til alle statslige virksomheder om, hvilke sikringstiltag en statslig virksomhed bør overveje for at imødegå aktuelle trusler om hackerangreb. 9
Statsrevisormøde og Rigsrevisionens opfølgning Hård kritik fra Statsrevisorerne 9. oktober 2013 Stor mediebevågenhed oktober 2013 Vejledning fra Digitaliseringsstyrelsen og Center for Cybersikkerhed om forebyggelse af hackerangreb Cyberforsvar der virker, december 2013. Ministersvar finansministeren og klima-, energi- og bygningsministeren fyldestgørende redegørelse for initiativer, der kan styrke forebyggelsen af hackerangreb, januar 2014. Rigsrevisionens svar til Statsrevisorerne i februar 2014 om vores opfølgning: Statens It: initiativer, der kan hindre af spredning af hackerangreb (tilsluttede kunder) klarhed i kundeaftalerne om opgavesplit, hvad angår sikring mod hackerangreb. Kommende års it-revisioner bl.a. fokus på om virksomhederne implementerer system for it-sikkerhedsstyring (ISO 27001) følger anbefalingerne i Cyberforsvar der virker. 10
Henvisninger Beretning om revisionen af statsregnskabet for 2012 http://www.rigsrevisionen.dk/media/1943109/rs-2012.pdf Australian Government, Department of Defence, Intelligence and Security, The Defence Signals Directorate (2012): Strategies to Mitigate Targeted Cyber Intrusions: www.dsd.gov.au/publications/top_35_mitigations_2012.pdf British Government Communications Headquarters, Communications-Electronics Security Group (2012): 10 steps to Cyber Security: www.bis.gov.uk/assets/biscore/businesssectors/docs/0-9/12-1121-10-steps-to-cyber-security-advice-sheets SANS Institute (2013): Critical Controls for Effective Cyber Defence: www.sans.org/critical-security-controls/cag4-1.pdf Center for Cybersikkerhed har sammen med Digitaliseringsstyrelsen udgivet en ny vejledning med en prioriteret køreplan for, hvordan risikoen for cyberangreb kan mindskes. Vejledningen henvender sig primært til ledelsesniveauet hos offentlige myndigheder og private virksomheder og hedder: Cyberforsvar der virker og kan hentes på www.digst.dk udgivet i december 2013. 11