5/2016 Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører afgivet til Folketinget med Statsrevisorernes bemærkninger 147.281 1849 237 1976 November 2016 114.6 22.480 908
5 / 2016 Beretning om styring af itsikkerhed hos it-leverandører St tsrev sorerne fremsender denne beretn ng med deres bemærkn nger t Fo ket nget og vedkommende m n ster, f. 3 ov om st tsrev sorerne og 18, stk. 1, ov om rev s onen f st tens regnsk ber m.m. Københ vn 2017 Denne beretn ng t Fo ket nget sk beh nd es fø ge ov om rev s onen f st tens regnsk ber, 18: St tsrev sorerne fremsender med deres eventue e bemærkn nger R gsrev s onens beretn ng t Fo ket nget og vedkommende m n ster. F n nsm n steren, erhvervs- og vækstm n steren, sk ttem n steren, ust tsm n steren og beskæft ge sesm n steren fg ver en redegøre se t beretn ngen. R gsrev sor fg ver et not t med bemærkn nger t m n strenes redegøre ser. P b ggrund f m n strenes redegøre ser og r gsrev sors not t t ger St tsrev sorerne ende g st ng t beretn ngen, hv ket forventes t ske m rts 2017. M n strenes redegøre ser, r gsrev sors bemærkn nger og St tsrev sorernes eventue e bemærkn nger s m es St tsrev sorernes Ende g betænkn ng over st tsregnsk bet, som r gt fg ves t Fo ket nget febru r m ned dette t fæ de Ende g betænkn ng over st tsregnsk bet 2016, som fg ves febru r 2018.
Henvende se vedrørende denne pub k t on rettes t : St tsrev sorerne Fo ket nget Chr st nsborg 1240 Københ vn K Te efon: 33 37 59 87 F x: 33 37 59 95 E-m : st tsrev sorerne@ft.dk H emmes de: www.ft.dk/st tsrev sorerne Yder gere eksemp rer k n købes ved henvende se t : Rosend h s-schu tz D str but on Herstedv ng 10 2620 A berts und Te efon: 43 22 73 00 F x: 43 63 19 69 E-m : d str but on@rosend h s.dk H emmes de: www.rosend h s.dk SSN 2245-3008 SBN 978-87-7434-508-4
STATSREV SORERNES BEMÆRKN NG Statsrevisorernes bemærkning BERETNING OM STY RING AF IT-SIKKERHED HOS IT-LEVERANDØRER F n nsm n ster et st er kr v om, t st ts ge mynd gheder fø ger t-s kkerhedsst nd rden SO 27001 t styr ng f t-s kkerheden, herunder t-s kkerheden hos eksterne t- ever ndører. Mynd ghederne sk s kre en b nceret nds ts, der vægter hensynet t brugerven ghed, s kkerhed og økonom. nds tsen sk være proport on med de r s c, der er p det konkrete omr de. Beretn ngen h nd er om, hvord n 5 mynd gheder: R gspo t et (Det Centr e P sreg ster), SKAT (T stse v Borger og Nyt T stse v Erhverv), Styre sen for Arbe dsm rked og Rekrutter ng (Det fæ es d t grund g), D g t ser ngsstyre sen (Nem D) og Søf rtsstyre sen (Sk bsreg stret) styrer t-s kkerheden hos deres eksterne t-dr fts- ever ndører. STATSREVISORERNE, den 9. november 2016 Peder L rsen Henr k Thorup K us Fr ndsen Lenn rt D msbo-andersen Søren G de S mon Em Amm tzbø St tsrev sorerne bemærker, t st ts ge mynd gheder genere t k n outsource tdr ften t eksterne t- ever ndører, men kke nsv ret for t-s kkerheden. St tsrev sorerne f nder det ut fredsst ende, t 4 ud f de 5 mynd gheder kke h r ud rbe det en t strække g r s kovurder ng. St tsrev sorerne f nder det bekymrende, t mynd ghederne med undt ge se f R gspo t et kke t strække g gr d st er kr v t t- ever ndørernes s kkerhedsn ve u. Kr vene bør være k re og b seret p r s kovurder nger, og mynd ghederne bør fø ge op herp. St tsrev sorerne f nder det væsent gt, t F n nsm n ster et præc serer nsv ret for t synet med t-s kkerheden for de t-systemer, som dr ves f St tens t.
INDHOLDSFORTEGNELSE 1. Introduktion og konklusion 1 1.1. Form og konk us on 1 1.2. B ggrund 3 1.3. Rev s onskr ter er, metode og fgrænsn ng 9 2. Myndighedernes styring af it-sikkerheden 11 2.1. Mynd ghedernes r s kovurder nger 11 2.2. Mynd ghedernes kr v om rev sorerk ær nger og kontro f t-s kkerhed 13 2.3. Mynd ghedernes kr v om og opfø gn ng p dg ngsstyr ng 16 2.4. Mynd ghedernes kr v om og opfø gn ng p ogn ng 19 B g 1. Metod sk t g ng 26 B g 2. F n nsm n ster ets t syn med St tens t og kundernes forp gte ser 31 B g 3. Ord ste 36
R gsrev s onen h r se v t get n t t v t denne undersøge se og fg ver derfor beretn ngen t St tsrev sorerne henho d t 17, stk. 2, r gsrev sor oven, f. ovbekendtgøre se nr. 101 f 19. nu r 2012. Beretn ngen vedrører f n ns ovens 7. F n nsm n ster et, 8. Erhvervs- og Vækstm n ster et, 9. Sk ttem n ster et, 11. ust tsm n ster et og 17. Beskæft ge sesm n ster et. undersøge sesper oden h r der været fø gende m n stre: F n nsm n ster et: C us H ort Freder ksen: un 2015 - Erhvervs- og Vækstm n ster et: Troe s Lund Pou sen: un 2015 - Sk ttem n ster et: K rsten L ur tzen: un 2015 - ust tsm n ster et: Søren P nd: un 2015 - Beskæft ge sesm n ster et: ørn Neerg rd L rsen: un 2015 - Beretn ngen h r udk st været fore gt F n nsm n ster et, Erhvervs- og Vækstm n ster et, Sk ttem n ster et, ust tsm n ster et og Beskæft ge sesm n ster et, hv s bemærkn nger er fspe et beretn ngen.
NTRODUKT ON OG KONKLUS ON 1 1. Introduktion og konklusion 1.1. FORMÅL OG KONKLUSION 1. Denne beretn ng h nd er om en række st ts ge mynd gheders styr ng f t-s kkerheden hos deres eksterne t-dr fts ever ndører. Beretn ngen h r et frem drettet perspekt v og g ver nbef nger t t forbedre mynd ghedernes styr ng f t-s kkerheden hos ever ndørerne. R gsrev s onen h r se v t get n t t v t beretn ngen, der bygger p t-rev s oner, som R gsrev s onen h r udført 1. h v r 2016. 2. Beretn ngen h nd er om fø gende 5 mynd gheder og 6 t-systemer: R gspo t et (Det Centr e P sreg ster herefter P sreg stret), SKAT (T stse v Borger og Nyt T stse v Erhverv), Styre sen for Arbe dsm rked og Rekrutter ng herefter STAR (Det fæ es d t grund g herefter DFDG), D g t ser ngsstyre sen (Nem D) og Søf rtsstyre sen (Sk bsreg stret). 3. En stor de f st tens t-dr ft er outsourcet t eksterne t- ever ndører. Outsourc ng k n g ve st ten en række forde e forho d t økonom, kv tet og org n ser ng. Der h r dog de seneste r været eksemp er p vor ge t-s kkerhedshænde ser hos st tens eksterne t- ever ndører. Fx b ev f ere f R gspo t ets systemer 2012 komprom tteret ved et h cker- ngreb p t- ever ndøren CSC. 4. Mynd ghederne er nsv r ge for t styre t-s kkerheden, se v om dr ften f t-systemerne v ret ges f eksterne t- ever ndører. Det er derfor v gt gt, t mynd ghederne foret ger r s kovurder nger og p b ggrund her f st er re ev nte kr v t og fø ger op p t-s kkerheden de outsourcede t-systemer. R s kovurder ngerne er grund get for en t strække g og ve begrundet styr ng f t-s kkerheden. Uden en kt v, r s kob seret styr ng ved mynd ghederne kke, om t-s kkerheden de outsourcede systemer sv rer t mynd ghedernes behov for s kkerhed. R gspo t et hører under ust tsm n ster et. SKAT hører under Sk ttem n ster et. Styre sen for Arbe dsm rked og Rekrutter ng hører under Beskæft ge sesm n ster et. D g t ser ngsstyre sen hører under F n nsm n ster et. Søf rtsstyre sen hører under Erhvervs- og Vækstm n ster et. t-systemer best r f forske ge tekn ske g/de e, der t s mmen udgør t-systemernes t- nfr struktur. Det beskr ves nærmere pkt. 10. Der er som udg ngspunkt potent e t r s c e d sse g. Det er derfor v gt gt, t mynd ghedernes r s kovurder nger t ger hø de for r s c e gene t- nfr strukturen ofte med nput fr ever ndørerne. Herved k n mynd ghederne vurdere, om der er behov for t st e kr v t og fø ge op p t-s kkerheden e gene.
2 NTRODUKT ON OG KONKLUS ON 5. Form et med beretn ngen er t vurdere, hvord n mynd ghederne h r styret t-s kkerheden hos de eksterne ever ndører p udv gte omr der, med henb k p t g ve nbef nger t, hvord n mynd ghederne frem drettet k n forbedre deres styr ng f t-s kkerheden hos t- ever ndører. Konkret h r v undersøgt, om mynd ghederne h r ud rbe det r s kovurder nger som grund g for deres styr ng. Med fsæt d sse resu t ter h r v som en temper turm ng undersøgt, om mynd ghederne h r st et kr v om rev sorerk ær nger og mu- ghed for t foret ge kontro f t-s kkerheden hos ever ndørerne, s mt om mynd ghederne h r st et kr v t og fu gt op p ever ndørernes dg ngsstyr ng og ogn ng. Det sk understreges, t beretn ngen h nd er om mynd ghedernes styr ng f t-s kkerhed og kke om, hvord n t-s kkerheden er pr ks s hos t- ever ndørerne de undersøgte systemer. KONKLUSION N r dr ften f mynd ghedernes t-systemer v ret ges f eksterne ever ndører, h r mynd ghederne kke ængere d rekte kontro over t-s kkerheden, men er forts t nsv r ge for t styre t-s kkerheden. Hv s mynd ghederne kke foret ger en kt v, r s kob seret styr ng f t-s kkerheden, herunder st er kr v t og fø ger op p t-s kkerheden, h r de kke v shed om, hvorv dt ever ndørernes t-s kkerhed er t strække g forho d t t s kre mynd ghedernes systemer og d t. R gsrev s onen vurderer, t hovedp rten f de undersøgte mynd gheder sk forbedre deres r s kovurder nger, som bør d nne grund g for mynd ghedernes styr ng f t-s kkerheden hos t- ever ndørerne. R gsrev s onen vurderer desuden, t hovedp rten f de undersøgte mynd gheder k n forbedre deres kr v t og opfø gn ng p dg ngsstyr ng og ogn ng. For det første f nder R gsrev s onen det kke t fredsst ende, t ngen f mynd ghederne p nær R gspo t et h r foret get t strække ge r s kovurder nger for de undersøgte tsystemer. R s kovurder ngerne er meget overordnede og omf tter kke e de e f systemernes t- nfr struktur. Endv dere begrunder mynd ghederne deres r s kovurder nger kke deres fr v g forho d t dg ngsstyr ng og ogn ng t- nfr strukturen og h r derfor kke dokumenteret deres overve e ser om, t det kke er nødvend gt t st e kr v t og fø ge op p dg ngsstyr ng og ogn ng e de e f t- nfr strukturen. N r mynd ghederne kke b serer deres styr ng f t-s kkerheden p t strække ge r s kovurder nger, er der r s ko for, t deres styr ng kke t ger udg ngspunkt mynd ghedernes dokumenterede behov for s kr ng f t gænge ghed, fortro ghed og ntegr tet deres systemer og d t. For det ndet f nder R gsrev s onen, t hovedp rten f de undersøgte mynd gheder frem- drettet k n forbedre deres kr v t ever ndørerne om dg ngsstyr ng og ogn ng. Mynd ghederne h r enten kke st et kr v om dg ngsstyr ng og ogn ng e er h r st et genere - e, upræc se kr v e er kr v, der kun omf tter de e f t- nfr strukturen. M ng ende kr v e er genere e, upræc se kr v, der g ver rum for forto kn ng forho d t ever ndørens forp gte ser, ndebærer en r s ko for, t ever ndøren kke h r det t strække ge og/e er forventede s kkerhedsn ve u.
NTRODUKT ON OG KONKLUS ON 3 For det tred e f nder R gsrev s onen, t hovedp rten f mynd ghederne frem drettet k n forbedre deres opfø gn ng p ever ndørernes dg ngsstyr ng og ogn ng, d de enten kke h r fu gt op p dette e er kun h r fu gt op herp de e f t- nfr strukturen. den forb nde se v ser rev s onen, t nog e f mynd ghederne k n b ve mere bev dste om, hv d deres rev sorerk ær nger dækker. For Søf rtsstyre sen og STAR, som er kunder hos St tens t, v ser rev s onen, t der er uk rhed om nsv rs- og opg veforde ngen forho d t t synet med St tens t me em F n nsm n ster et og de 2 styre ser. STAR og Erhvervs- og Vækstm n ster et, herunder Søf rtsstyre sen, h r op yst, t de 2 styre ser kke h r været opmærksomme p deres forp gte ser forho d t kr v t og opfø gn ng p t-s kkerhed de undersøgte t-systemer, d de h r en nden opf tte se f nsv rs- og opg veforde ngen og f nder, t det er dækket f F n nsm n ster ets t syn. F n nsm n ster et h r op yst, t m n ster et v t ge n t t v t t præc sere omf nget f s t t syn med St tens t. P b ggrund f beretn ngen nbef er R gsrev s onen: at myndighederne på baggrund af egne risikovurderinger stiller klare krav til leverandørernes sikkerhedsniveau i kontrakten eller i tillæg, allonger eller bilag hertil og tydeliggør, hvilke dele af it-infrastrukturen kravene gælder at myndighederne følger op på leverandørernes it-sikkerhed og efterlevelse af krav i alle dele af it-infrastrukturen, medmindre myndighederne i deres risikovurderinger har dokumenteret, at det ikke er nødvendigt. 1.2. BAGGRUND 6. Beretn ngen sætter fokus p den r s ko, der er, hv s mynd ghederne kke h r en kt v, r s kob seret styr ng f t-s kkerheden hos de eksterne t- ever ndører, herunder t de kke st er k re kr v t og fø ger op p t-s kkerheden. Styring af it-sikkerhed 7. F n nsm n ster et st er kr v om, t st ts ge mynd gheder fø ger t-s kkerhedsst nd rden SO 27001 t styr ng f t-s kkerheden, herunder ogs t-s kkerheden hos eksterne t- ever ndører. Desuden fremg r det f N t on str teg for cyber- og nform t onss kkerhed, t mynd ghederne sk rbe de r s kob seret med s kkerhed og øbende foret ge r s kovurder nger. Mynd ghederne sk pr or tere nds tsen efter behov og s kre en b nceret nds ts, der vægter hensynet t brugerven ghed, s kkerhed og økonom. nds tsen sk være proport on med trus erne p det konkrete omr de. Mynd ghederne sk f st ægge s kkerhedst t gene p b ggrund f en konkret vurder ng f, hv ket s kkerhedsn ve u der er nødvend gt. 8. P b ggrund f r s kovurder ngen bes utter mynd ghederne, hvord n de sk h ndtere de dent f cerede r s c. Mynd gheden sk fø ge Gu de t mp ementer ng f SO 27001 beskr ve de s kkerhedsfor nst tn nger, ede sen h r bes uttet t gennemføre, et s k dt SoAdokument. Beskr ve sen sk begrunde eventue e fr v g f kontro er. SoA-dokumentet bruges t t ver f cere, t mynd gheden kke h r und dt v gt ge kontro er. Mynd ghederne h r fr nu r 2014 sku et fø ge SO 27001 og h ve færd g mp ementeret den pr mo 2016. fø ge N t on str teg for cyber- og nform t onss kkerhed fr 2014 sk de st ts ge mynd gheder b ve bedre t t fø ge op p s kkerhedsn ve uet hos eksterne ever ndører. Mynd ghederne sk s edes fø ge str teg en foret ge r s kovurder nger f t-s kkerheden s mt st - e re ev nte kr v t og øbende fø ge op p t-s kkerheden hos ever ndørerne. Dette gæ der ogs, hvor ever ndøren er en nden offent g mynd ghed, fx St tens t. SOA-DOKUMENT SoA-dokument (St tement of App c b ty) er et centr t dokument s kkerheds rbe det efter SO 27001. SoA-dokumentet sk omh nd- e ede sens pr or ter ng f s kkerheden, herunder bes utn nger om v g og fr v g f s kkerhedsfor nst tn nger, forho d t forretn ngens m og r s koprof.
4 NTRODUKT ON OG KONKLUS ON 9. Mynd ghedernes r s kovurder nger bør fø ge D g t ser ngsstyre sens og Center for Cybers kkerheds Anbef nger t styrke se f s kkerheden st tens outsourcede t-dr ft fr 2014 t ge udg ngspunkt et opd teret trusse sb ede. Mynd ghederne bør desuden vurdere r s c ud fr k r kteren og værd en f d t og systemer, som mynd ghederne er nsv r- ge for, herunder hvor kr t ske de er. Sikkerhedsrisici i it-infrastrukturen 10. t-systemer best r f forske ge tekn ske g/de e, der t s mmen udgør t-systemernes t- nfr struktur. F gur 1 v ser en forenk et ustr t on f t- nfr strukturen, som den ofte er s mmens t hos en ever ndør, hvor kunderne de er serv ces. De undersøgte t-systemer de- er v r erende omf ng serv ces med ndre kunder som m n mum g 8 (fys sk ok t on). FIGUR 1 T- NFRASTRUKTUREN T-SYSTEMER Kunde A Kunde B 1. Brugergrænseflade 1. Brugergrænseflade 2. Applikation 2. Applikation 3. Database 3. Database 4. Operativsystem 4. Operativsystem 5. Eventuelt hypervisor 6. Fysisk server (fx ilo og DRAC ) 7. Netværk 8. Fysisk lokation K de: R gsrev s onen. Det fremg r f f gur 1, t t- nfr strukturens g 1-4 (brugergrænsef de, pp k t on, d t b se og oper t vsystem) typ sk v være dsk t me em de forske ge kunder ever ndørens t-m ø. L g 5-8 (hyperv sor, fys sk server, netværk og fys sk ok t on) v der mod oftest være fæ es serv ces og f c teter, som f ere kunder de es om hos ever ndøren. 11. Der er som udg ngspunkt potent e t r s c og s rb rheder hvert f gene t- nfr strukturen for et t-system. L gene t- nfr strukturen hænger ndbyrdes s mmen.
NTRODUKT ON OG KONKLUS ON 5 Derfor v r s c og s rb rheder ét g som udg ngspunkt kunne f konsekvenser for s kkerheden he e systemet. En person, der h r dg ng t ét e er f ere g, k n ved t udnytte tekn ske s rb rheder sk ffe s g dg ng t ndre g. Fx k n en h cker, som udnytter en s rb rhed t- nfr strukturen t t komprom ttere s kkerheden ét g, h ve mu ghed for der gennem t sk ffe s g dg ng t ndre g ( ustreret med p en t hø re hos kunde B f gur 1). Afhæng gt f den tekn ske opbygn ng k n der ogs være r s ko for, t en h cker, som udnytter en s rb rhed t- nfr strukturen hos kunde A, d den ve k n sk ffe s g dg ng t t- nfr strukturen hos kunde B og derved k n komprom ttere s kkerheden kunde B s t-system, hv s de h r s mme ever ndør ( ustreret med p en t venstre f gur 1). Det er derfor v gt gt, t mynd ghederne s krer s g, t ever ndørerne h r truffet de fornødne s kkerhedsfor nst tn nger systemets t- nfr struktur, s dette kke er mu gt. Det betyder, t mynd ghederne bør st e kr v t og fø ge op p ever ndørernes s kkerhed og efter eve se f kr v hvert f de enke te g t- nfr strukturen, medm ndre mynd ghederne deres r s kovurder nger h r dokumenteret, t det kke er nødvend gt. For kunder, der kke de er serv ces, ndeho der t- nfr strukturen typ sk de s mme 8 g som f gur 1. Her er det dog forho d t r s c b ot p en t hø re, der er re ev nt. 12. Lever ndørerne h r typ sk mp ementeret en række forske ge s kkerhedsfor nst tn nger. D sse for nst tn nger begrænser r s koen de enke te g t- nfr strukturen og betyder, t der kke er fr dg ng for fx en h cker gennem he e t- nfr strukturen fr det ene g t det ndet. o f ere s kkerhedsfor nst tn nger, desto v nske gere er det t trænge nd t- nfr strukturen og komme gennem de forske ge g. Desuden k n mynd gheder og ever ndører h ve forske ge kompenserende for nst tn nger, der reducerer konsekvenserne, hv s t-systemer og d t b ver komprom tteret. D sse bør ndg mynd ghedernes r s kovurder nger, for t mynd ghederne k n h ve v shed om, t ever ndørens h ndter ng f r s c og s kkerhedsn ve uet er t strække g. De udvalgte myndigheder og it-systemer 13. De udv gte mynd gheder og t-systemer, som beretn ngen h nd er om, dækker t s mmen en bred v fte f forske ge mynd gheder og t-systemer med forske ge typer f d t. De udv gte t-systemer understøtter forske ge væsent ge opg ver og serv ces p 5 forske ge m n steromr der. Systemerne repræsenterer b de æ dre og nyere systemer og kontr kter. Nog e f systemerne er rettet mod borgere og v rksomheder og forb nder borgere og v rksomheder t d g t e serv ces. Andre systemer er fgrænsede f gsystemer, som nvendes f med rbe dere. Hø t-s kkerhed er v gt g for e de udv gte systemer form f t gænge ghed, fortro ghed og/e er ntegr tet f d t og systemer.
6 NTRODUKT ON OG KONKLUS ON 14. T be 1 v ser de udv gte t-systemer, de nsv r ge mynd gheder og de t- ever ndører, som v ret ger dr ften f systemerne. TABEL 1 DE UDVALGTE T-SYSTEMER System Mynd ghed t-dr fts ever ndør ndg e se f dr ftskontr kt Beskr ve se f systemet Det Centr e P sreg ster (P sreg stret) R gspo t et CSC 2014 ndeho der p sop ysn nger, som b.. benyttes f po t et, kommuner, Udenr gsm n ster et og Ud- ænd ngestyre sen. Nyt T stse v Erhverv SKAT CSC 2014 Er et t-system, hvor v rksomheder ndberetter deres sk tteop ysn nger. T stse v Borger SKAT CSC 1992 Er et t-system, hvor borgerne ndberetter deres sk tteop ysn nger. Det fæ es d t grund g (DFDG) Styre sen for Arbe dsm rked og Rekrutter ng (STAR) KMD 2012 (2015) Er STAR s tekn ske ndg ng t fæ - es t p beskæft ge sesomr det. t-systemet understøtter s gsbeh nd ernes rbe de kommuner og obcentre s mt borgervendt se vbet en ng p obnet. Nem D D g t ser ngsstyre sen Nets 2008 Er et fæ es og- n t b de offent- ge og pr v te se vbet en ngs øsn nger og t den enke te borgers netb nk. Sk bsreg stret Søf rtsstyre sen St tens t 2009 Er et reg ster, hvor sk be k n reg streres. K de: R gsrev s onen p b ggrund f op ysn nger fr de undersøgte mynd gheder. 15. Mynd ghederne h r forske ge r mmebet nge ser for styr ngen f t-s kkerheden hos t- ever ndørerne de udv gte systemer. Sk bsreg strets d t er modsætn ng t de øvr ge systemers d t offent gt t gænge ge. Erhvervs- og Vækstm n ster et h r p den b ggrund op yst, t der efter m n ster ets opf tte se kke er behov for s mme s kkerhedsn ve u som for de ndre undersøgte systemer. R gsrev s onen konst terer, t det fremg r f Søf rtsstyre sens r s kovurder ng, t Sk bsreg stret understøtter styre sens kr t ske forretn ngsprocesser, og t ntegr tet og t gænge ghed forho d t Sk bsreg stret h r stor betydn ng. SKATs T stse v Borger er en de f et systemkomp eks, der understøtter borgernes sk tteberegn ng og rsopgøre se. Systemkomp ekset best r grund æggende f 2 de e: M nfr me-de en, der udfører beregn ngen f borgerens sk t mv., og T stse v Borger, der er det system, borgeren benytter t ndt stn ng og godkende se f forskuds- og rsopgøre sesop ysn nger. Rev s onen h r omf ttet T stse v Borger-de en.
NTRODUKT ON OG KONKLUS ON 7 16. Dr ften f e de udv gte t-systemer v ret ges f eksterne t- ever ndører. Dog er Nem D og T stse v Borger kke outsourcet p s mme m de som de ndre undersøgte t-systemer. t-systemet b g Nem D e es f Nets. D g t ser ngsstyre sen køber serv ces, som Nets udbyder. SKAT h r kun brugsret t systemet T stse v Borger. Det er CSC, som e er systemet. T stse v Borger hører under en r mmekontr kt med CSC fr 1992 s mmen med ndre f SKATs systemer. Med de v gte øsn nger er D g t ser ngsstyre sen og SKAT dog gesom de ndre mynd gheder nsv r ge for t foret ge r s kovurder ng s mt st e kr v t og fø ge op p t-s kkerheden hos ever ndøren. 17. B de STAR og Søf rtsstyre sen er kunder hos St tens t, men p 2 forske ge m der. Dr ften f STAR s system DFDG v ret ges f en ekstern t-dr fts ever ndør (KMD). STAR er omf ttet f St tens t s r mme ft e med eksterne ever ndører. Erhvervs- og Vækstm n ster et, herunder Søf rtsstyre sen, er t s uttet St tens t, som v ret ger dr ften f styre sens t-systemer, herunder Sk bsreg stret. Styre sen k n derfor kke fr t væ ge dr fts ever ndør, men sk benytte St tens t som t-dr fts ever ndør. St tens t v ret ger t-dr ften f Sk bsreg stret, herunder fv k ng f softw re og dr ft f fys sk udstyr g 1-8 systemets t- nfr struktur. Søf rtsstyre sen h r en ved geho de sesog udv k ngs ft e med en softw re ever ndør. Softw re ever ndøren v ret ger s k dt pp c t on m n gement (dvs. b.. fe søgn ng, fe rette se og v dereudv k ng g 1, 2 og de e f g 3 Sk bsreg strets t- nfr struktur). Rev s onen omh nd er ene Søf rtsstyre sens t-dr ftskontr kt med St tens t. V h r s edes kun undersøgt Søf rtsstyre sens kr v og opfø gn ng forho d t t-dr fts ever ndøren St tens t. At STAR og Søf rtsstyre sen er t s uttet St tens t h r betydn ng for den m de, hvorp de sk styre t-s kkerheden hos t-dr fts ever ndørerne (henho dsv s St tens t og KMD). Styring af it-sikkerheden hos Statens It s it-driftsleverandør (KMD) for STAR 18. Aft en med t-dr fts ever ndøren st er kr v om rev sorerk ær ng, som omf tter ever ndørens kundefæ es yde ser. St tens t fører t syn ( ud t) med t-dr fts ever ndøren p vegne f kunderne, herunder STAR. T synet t ger udg ngspunkt de kundefæ es yde ser, som rev sorerk ær ngen omf tter ( g 5-8 t- nfr strukturen). Det er R gsrev s onens opf tte se, t STAR h r nsv ret for t foret ge r s kovurder nger, der t ger hø de for r s c e 8 g deres f gsystem DFDG, og v St tens t st e kr v t den eksterne t-dr fts ever ndør, hv s der p b ggrund f r s kovurder ngen er behov for det. Desuden sk STAR forho de s g t rev sorerk ær ngen og det t syn, som St tens t udfører p vegne f STAR. STAR sk supp ere dette med øvr g opfø gn ng hos t-dr fts ever ndøren, s STAR s m et set fø ger op e de e f t- nfr strukturen for DFDG. St tens t h r op yst, t det er St tens t, der er ur d sk kontr ktp rt over for KMD og derfor h r nsv ret for, t kontr ktens kr v t t-s kkerhed opfy des. St tens t h r endv dere op yst, t STAR h r h ft mu ghed for t st e yder gere kr v forb nde se med kr vspec f k t onen t t-dr fts ever ndøren, d STAR h r s ddet med styregruppen for udbuddet.
8 NTRODUKT ON OG KONKLUS ON St tens t h r op yst, t St tens t h r nsv ret for dr fts ft en med den eksterne ever ndør, men t STAR som systeme er h r godkendt den kr vspec f k t on, der gger t grund for kontr kten med ever ndøren. STAR h r desuden h ft mu ghed for øbende t st e supp erende t-s kkerhedsmæss ge kr v t ever ndøren v St tens t. FINANSMINISTERIETS TILSYN fø ge F n nsm n ster et omf tter t synet som udg ngspunkt kke kundernes f gspec f kke systemer. Dog bemærkes det, t F n nsm n ster ets t syn med St tens t dækker genere e tkontro er og efter eve se f SOst nd rden, hv ket udgør et væsent gt grund g for dr ften f kundernes f gspec f kke systemer, f. st nd rdkunde ft - en og t hørende b g. Styring af it-sikkerhed hos Søfartsstyrelsens it-driftsleverandør (Statens It) 19. F n nsm n ster et fører t syn med St tens t s t-s kkerhed p vegne f de kunder, hvor St tens t v ret ger dr ften f deres t-systemer (herunder Søf rtsstyre sen). F n nsm n ster et øfter dermed t synsopg ven for t undg, t e m n ster er bruger resurser p t føre t syn med St tens t. Det er R gsrev s onens opf tte se, t nsv ret for t foret ge r s kovurder ng f f gsystemer gger hos de enke te kunder, herunder Søf rtsstyre sen. F n nsm n ster et er en g med R gsrev s onen her. Desuden er de enke te kunder nsv r ge for t st e kr v t St tens t, hv s der p b ggrund f deres r s kovurder ng er behov for det. Ende g er kunderne forp gtede t kt vt t forho de s g t det t syn, F n nsm n ster et fører p vegne f kunderne, fx ved t spørge nd t det e er st e kr v t emner, der sk være sær gt fokus p. Dette bør ske med udg ngspunkt mynd ghedernes r s kovurder ng, s t synet fspe er mynd ghedernes spec f kke behov for t-s kkerhed. F n nsm n ster et er en g med R gsrev s onen og v derfor t ge n t t v t t præc sere omf nget f s t t syn med St tens t. Det er R gsrev s onens opf tte se, t Søf rtsstyre sen s edes sk foret ge en r s kovurder ng, der t ger hø de for r s c e 8 g t- nfr strukturen Sk bsreg stret og p den b ggrund vurdere, om der er behov for t st e kr v t og fø ge op p t-s kkerheden e 8 g t- nfr strukturen. STAR og Erhvervs- og Vækstm n ster et, herunder Søf rtsstyre sen, h r op yst, t de h r en nden opf tte se f nsv rs- og opg veforde ngen forho d t t synet med St tens t me em F n nsm n ster et og de 2 styre ser, herunder omf nget f deres forp gte ser og F n nsm n ster ets t syn. B g 2 beskr ver, hvord n F n nsm n ster et betr gter m n ster ets t syn med St tens t og kundernes forp gte ser. Desuden beskr ver b get STAR s og Erhvervs- og Vækstm n ster ets, herunder Søf rtsstyre sens, opf tte se f nsv rs- og opg veforde ngen me em dem og F n nsm n ster et.
NTRODUKT ON OG KONKLUS ON 9 1.3. REVISIONSKRITERIER, METODE OG AFGRÆNSNING Revisionskriterier 20. V h r t brug for t-rev s onen opst et rev s onskr ter er. Beretn ngen omh nd er 16 rev s onskr ter er, som er en de f en større t-rev s on. De udv gte kr ter er dækker 4 emner: r s kovurder ng, rev sorerk ær nger og kontro f s kkerhed, dg ngsstyr ng s mt ogn ng. V h r udv gt d sse emner og kr ter er, d v nser dem for t være væsent ge for styr ng f t-s kkerhed. De valgte emner og kriterier 21. V h r undersøgt mynd ghedernes r s kovurder nger, som er grund get for en t strække g og ve begrundet styr ng f t-s kkerheden. P b ggrund f r s kovurder ngerne sk mynd ghederne bes utte, hvord n de k n h ndtere de dent f cerede r s c, og hv ke for nst tn nger de v mp ementere, herunder hv ke s kkerhedsmæss ge spekter det er re ev nt t st e kr v om og fø ge op p. for ænge se her f h r v undersøgt mynd ghedernes kr v t rev sorerk ær nger, herunder hv d erk ær ngerne dækker, og mynd ghedernes kr v om mu ghed for t foret ge kontro / nspekt on hos ever ndørerne. Rev sorerk ær ngerne sp er en v gt g ro e mynd ghedernes styr ng f t-s kkerheden, d de g ver mynd ghederne nform t on om, hvorv dt t-s kkerheden er orden p de omr der, erk ær ngerne omf tter. Mynd ghedernes kontro / nspekt on (fx v tred ep rt) sp er ogs en v gt g ro e, d den k n g ve mynd ghederne nform t on om forho d, der kke er omf ttet f rev sorerk ær ngerne. Adg ngsstyr ng og ogn ng er 2 v gt ge spekter f t-s kkerhed, som begge ndg r som kontro er SO 27001. V h r derfor med fsæt resu t terne om r s kovurder nger og som en temper turm ng p mynd ghedernes kr v og opfø gn ng undersøgt, om mynd ghederne h r st et kr v t og fu gt op p ever ndørernes dg ngsstyr ng og ogn ng. 22. De emner og kr ter er, beretn ngen omh nd er, omf tter b ot en de f den s m ede ts kkerhed. De udgør derfor kke en udtømmende ste for, hvord n mynd ghederne sk styre t-s kkerheden hos ever ndørerne, herunder hv ke kr v mynd ghederne bør st e. Opfy de se f kr ter erne er derfor kke ensbetydende med en t strække g styr ng f t-s kkerheden. Det fremg r f b g 1, hv d kr ter erne er b seret p. 23. Som det fremg r f t be 1, er f ere f kontr kterne for de undersøgte systemer ndg et, før den n t on e str teg fr 2014 og ve edn nger mv. udkom. P b ggrund f grundpr nc pperne SO 27001 f nder R gsrev s onen det v gt gt, t mynd ghederne foret ger r s kovurder nger øbende, og t mynd ghederne p b ggrund her f st er nye re ev nte kr v t s kkerhedst t g, se v om kontr kterne er ndg et p et t d gere t dspunkt. Dette k n fx ske form f onger, t ægs ft er og/e er b g. Metode 24. Beretn ngen bygger p t-rev s oner, som v h r udført 1. h v r 2016. Som en de f trev s onen h r v været p rev s onsbesøg hos hver mynd ghed enten hos mynd gheden med de t ge se f ever ndøren og/e er hos ever ndøren. Endv dere h r v fho dt opfø gende møder med mynd gheder/ ever ndører. For t s kre s mmen gne ghed p tværs f mynd ghederne h r v t get udg ngspunkt den s mme spørger mme, dog t p sset de konkrete systemer.
10 NTRODUKT ON OG KONKLUS ON Vores dokument t on bygger b.. p re ev nt skr ft gt m ter e fr mynd ghederne, fx r s kovurder nger, kontr kter, m ter e, som understøtter kontr kterne, og rev sorerk ær nger. Herudover h r v været d og med Center for Cybers kkerhed og g ort brug f konsu entb st nd fr R mbø M n gement. Den metod ske t g ng er nærmere beskrevet b g 1. 25. Rev s onen er udført overensstemme se med god offent g rev s onssk k, der er b seret p de grund æggende rev s onspr nc pper r gsrev s onernes ntern t on e st nd rder ( SSA 100-999). Afgrænsning 26. Beretn ngen g ver et ø eb ksb ede f, hvord n mynd ghederne p rev s onst dspunktet h r styret t-s kkerheden hos t- ever ndørerne p en række væsent ge omr der. 27. Beretn ngen h nd er om mynd ghedernes styr ng f t-s kkerheden hos t-dr fts ever ndørerne. Beretn ngen h nd er kke om, hvord n t-s kkerheden er pr ks s hos ever ndørerne, og hv ke konsekvenser en eventue m ng ende s kkerhed k n h ve. V h r dog beskrevet et p r nonym serede eksemp er p pr ks s. De v ser v gt gheden f mynd ghedernes styr ng, men ndg r kke vurder nger og resu t ter. V h r desuden kke vurderet kv - teten f den rev s on, de pr v te rev sorer h r udført. 28. V h r undersøgt mynd ghedernes kr v t og opfø gn ng p t-dr fts ever ndørernes dg ngsstyr ng og ogn ng forho d t med rbe derne hos dr fts ever ndørerne. V h r kke undersøgt dg ngsstyr ng og ogn ng forho d t brugerne f pp k t onen (fx s gsbeh nd- ere e er borgere). V h r desuden kun undersøgt mynd ghedernes styr ng f t-s kkerheden hos t-dr fts ever ndører og kke hos ever ndører e er eksterne konsu enter, der v ret ger ved geho d og udv k ng mv. V h r derfor kun gennemg et mynd ghedernes dr ftskontr kter med t-dr fts- ever ndører. 29. B g 3 ndeho der en ord ste, der fork rer udv gte ord og begreber.
MYND GHEDERNES STYR NG AF T- S KKERHEDEN 11 2. Myndighedernes styring af it-sikkerheden 2.1. MYNDIGHEDERNES RISIKOVURDERINGER 30. V h r undersøgt, om mynd ghederne h r foret get r s kovurder nger f t-s kkerheden systemernes t- nfr struktur, der b.. omf tter dg ngsstyr ng og ogn ng. 31. Der er som udg ngspunkt potent e t r s c og s rb rheder hvert f de enke te g t- nfr strukturen for et t-system. SO 27001 g ver m d ert d kke konkrete nv sn nger t, hv d der sk være omf ttet f r s kovurder ngen for t g ve et præc st b ede f t-s kkerhedsr s c, og SO 27001 forho der s g fx kke t begrebet t- nfr strukturen. Det er dog p b ggrund f pr nc pperne SO 27001 og ve edn nger mv. ( f. b g 1) R gsrev s onens opf tte se, t det er den enke te mynd gheds nsv r t s kre, t mynd ghedens r s kovurder ng dækker e gene t- nfr strukturen for t-systemet, og t r s kovurder ngen t ger udg ngspunkt mynd ghedens behov forho d t t s kre t gænge ghed, fortro- ghed og/e er ntegr tet t-systemet og d t. De seneste rs s kkerhedshænde ser v ser v gt gheden her f. N vn g forho d t g 5-8 v mynd ghederne dog ofte være fhæng ge f nput fr ever ndørerne for t dent f cere r s c d sse g og vurdere, hv d de betyder for systemet. Det er endv dere R gsrev s onens opf tte se, t hv s mynd ghederne kke h r foret get en r s kovurder ng f systemerne og s kret, t r s kovurder ngen dækker de enke te g t- nfr strukturen og kke h r t get st ng t r s c her, s ved mynd gheden kke, hv ket omf ng der er r s c de enke te g t- nfr strukturen, og hv ket omf ng ever ndørens s kkerhedsfor nst tn nger t ger h nd om d sse r s c. Mynd ghederne ved he er kke, hv ke s kkerhedskr v det er re ev nt t st e t ever ndøren, og hv ke der eventue t k n und- des, hv s der kke er behov. Det er derfor R gsrev s onens opf tte se, t mynd ghederne bør foret ge r s kovurder nger, der t ger hø de for r s c e gene t- nfr strukturen. 32. Rev s onen v ser, t R gspo t et h r foret get en r s kovurder ng f s ne v gt gste forretn ngsmæss ge processer og de understøttende t-systemer (herunder P sreg stret) og h r gennemført omf ttende s kkerheds n yser hos ever ndøren. R gspo t et h r s t SoAdokument kt vt t v gt t mp ementere e kontro er fr SO 27001, herunder dg ngsstyr ng og ogn ng. R gsrev s onen vurderer, t R gspo t ets r s kovurder ng, s kkerheds n - yser og SoA-dokument t s mmen omf tter e de e f t- nfr strukturen for R gspo t ets centr e systemer, herunder P sreg steret.
12 MYND GHEDERNES STYR NG AF T- S KKERHEDEN SKAT h r ud rbe det en r s kovurder ng f et større systemkomp eks, som T stse v Borger er en de f. T stse v Borger fremg r kke eksp c t f r s kovurder ngen. R gsrev s onen vurderer p den b ggrund, t SKAT kke h r foret get en egent g r s kovurder ng f T stse v Borger. SKAT (for Nyt T stse v Erhverv), D g t ser ngsstyre sen, STAR og Søf rtsstyre sen h r foret get r s kovurder nger, der kun genere t e er nogen gr d omf tter dg ngsstyr ng og ogn ng t- nfr strukturen. SKAT (for Nyt T stse v Erhverv) og D g t ser ngsstyre sen h r ud rbe det systemspec f kke r s kovurder nger, der b.. omh nd er dg ngsstyr ng og ogn ng. R s kovurder ngerne er m d ert d meget overordnede og m ng er begrunde ser. Derfor g ver de kke et dækkende b ede f r s c forho d t b.. dg ngsstyr ng og ogn ng t- nfr strukturen. STAR og Søf rtsstyre sen h r ud rbe det r s kovurder nger, som omf tter mynd ghedernes v gt ge forretn ngsprocesser og de understøttende t-systemer, herunder de undersøgte systemer. R s kovurder ngerne er dog overordnede, d de kke forho der s g det eret t b.. dg ngsstyr ng og ogn ng de undersøgte systemers t- nfr struktur. Rev s onen v ser s edes, t de mynd gheder, der kke h r t strække ge r s kovurder nger, kke h r begrundet deres fr v g p b ggrund f deres r s kovurder nger forho d t dg ngsstyr ng og ogn ng t- nfr strukturen for de undersøgte t-systemer. Rev s onen v ser v dere, t mynd ghedernes r s kovurder nger med undt ge se f R gspo- t et kke omf tter e de e f t- nfr strukturen. RESULTATER R gsrev s onen vurderer, t mynd ghederne bortset fr R gspo t et kke h r ud rbe det t strække ge r s kovurder nger, hv ket er en forudsætn ng for, t mynd ghederne k n vurdere, begrunde og pr or tere, hv ke kr v der er re ev nte t st e t ever ndørernes t-s kkerhed, herunder b.. forho d t dg ngsstyr ng og ogn ng t- nfr strukturen. Rev s onen v ser, t R gspo t et h r v gt t mp ementere e kontro er fr SO 27001, herunder om dg ngsstyr ng og ogn ng. ngen f de øvr ge mynd gheder h r deres r s kovurder nger dokumenteret, t det kke er nødvend gt t st e kr v t og fø ge op p dg ngsstyr ng og ogn ng e de e f t- nfr strukturen. Desuden er r s kovurder ngerne med undt ge se f R gspo t et overordnede og omf tter kke e de e f t- nfr strukturen de undersøgte systemer. N r mynd ghedernes styr ng f t-s kkerheden kke er b seret p t strække ge r s kovurder nger, er der r s ko for, t deres styr ng f t-s kkerheden kke t ger udg ngspunkt mynd ghedernes dokumenterede behov forho d t beskytte se f t gænge ghed, fortro ghed og ntegr tet f deres systemer og d t.
MYND GHEDERNES STYR NG AF T- S KKERHEDEN 13 2.2. MYNDIGHEDERNES KRAV OM REVISOR- ERKLÆRINGER OG KONTROL AF IT-SIKKERHED 33. V h r undersøgt, om mynd ghederne h r st et kr v om t modt ge en r g rev sorerk ær ng om ever ndørens t-s kkerhed og kr v om dg ng t t foret ge kontro f t-s kkerheden hos ever ndørerne systemernes t- nfr struktur (fx v tred ep rt). 34. fø ge Anbef nger t styrke se f s kkerheden st tens outsourcede t-dr ft bør mynd ghederne s kre s g, t ever ndørerne re ev nt omf ng er under gt u fhæng g ekstern t-s kkerhedsrev s on, og t rev s onsr pporterne øbende gøres t gænge ge for mynd ghederne. Mynd ghederne bør desuden fø ge nbef ngerne ft e og formu ere en ret t t foret ge kontro f efter eve sen f ft te s kkerhedskr v. N r mynd ghederne ndg r kontr kt, bør de s edes fø ge nbef ngerne overve e, om det er nført kontr kten, t mynd gheden (oftest v en u fhæng g rev sor) sk h ve dg ng t fx én g ng r gt t foret ge en p ssende nspekt on f h ndter ng f d t hos ever ndøren. A tern t vt, t ever ndøren v en u fhæng g rev sor redegør for, hvord n ever ndørens t- nfr struktur, herunder s kkerhedsspec f k t oner, h ndteres. Myndighedernes krav om en årlig revisorerklæring om leverandørernes it-sikkerhed 35. F ere f mynd ghederne h r op yst, t ever ndørerne er SO 27001-cert f cerede, og t det efter mynd ghedernes opf tte se betyder, t ever ndørernes t-s kkerhed er orden. R gsrev s onen f nder, t SO-cert f cer ngen er v gt g, det cert f cer ngen v ser, t den p gæ dende ever ndør h r et b eret hens gtsmæss ge processer for styr ng f t-s kkerheden. m d ert d t ger SO-cert f cer ngen udg ngspunkt ever ndørens r s kovurder ng og kke mynd ghedens r s kovurder ng. Det er derfor v gt gt, t mynd ghederne st er kr v om rev sorerk ær nger og dg ng t t foret ge kontro / nspekt on f t-s kkerheden hos ever ndøren. Det er ge edes v gt gt, t mynd ghederne øbende fø ger op p t-s kkerheden ( f. fsn t 2.3 og 2.4). Kr ter et om rev sorerk ær ng er kke re ev nt for Søf rtsstyre sen, d R gsrev s onen er rev sor for b de St tens t og Søf rtsstyre sen. 36. Rev s onen v ser, t R gspo t et, SKAT (for Nyt T stse v Erhverv), STAR og D g t ser ngsstyre sen h r st et kr v om t modt ge en r g rev sorerk ær ng om ever ndørens t-s kkerhed. Rev s onen v ser ogs, t der er forske p, hv ken form for rev sorerk ær ng der er t e om og dermed, hv d erk ær ngerne dækker. R gspo t et h r st et kr v om rev sorerk ær ng, der spec f kt dækker deres systemer hos ever ndøren, herunder P sreg stret, og som b.. forho der s g t dg ngsstyr ng og ogn ng. SKAT (for Nyt T stse v Erhverv) h r forb nde se med en ny kontr kt st et kr v om fremover t modt ge en systemspec f k rev sorerk ær ng. SKAT h r modt get denne, efter rev s onen er fs uttet. SKAT h r h dt modt get en genere rev sorerk ær ng.
14 MYND GHEDERNES STYR NG AF T- S KKERHEDEN STAR modt ger ge edes en genere rev sorerk ær ng. Genere e rev sorerk ær nger er kke kunde- og systemspec f kke. De omh nd er ever ndørernes genere e t-kontro er og dækker ever ndørernes fæ es t-m ø, der norm t kun dækker g 5-8 t- nfr strukturen. Hv s mynd ghederne fø ger op p t-s kkerheden hos ever ndørerne ene ved h æ p f en genere rev sorerk ær ng, dækker mynd ghedernes opfø gn ng derfor kke e de e f t- nfr strukturen og mu gv s he er kke kontro er, som mynd ghederne m tte f nde re ev nte p b ggrund f r s kovurder ngen. D g t ser ngsstyre sen h r st et kr v om t modt ge en systemspec f k rev sorerk ær ng fr ever ndørens u fhæng ge rev sor og et rev s onsprotoko t (herefter s m et benævnt rev sorerk ær ng). T synskonceptet for Nem D fremg r f boks 1. BOKS 1 T LSYNSKONCEPTET FOR NEM D D g t ser ngsstyre sen h r op yst, t Nem D er omf ttet f den s k dte OCES-st nd rd og det der beskrevne t syn. Styre sen h r op yst, t t synet b ev et b eret fu dstænd g overensstemme se med t syn for kv f cerede cert f k ter den d værende ov om e ektron ske s gn turer, og t de s mme r mmer omkr ng t syn er f stho dt den s k dte e DAS-forordn ng (EU nr. 910/2014). D g t ser ngsstyre sen h r v dere op yst, t styre sen fø ger t synsr mmerne forordn ngen tæt og desuden fører t syn hvert r frem for hvert ndet r, som kr vet yder. Styre sens opfø gn ng og t syn er b seret p en st ts utor seret rev sors erk ær ng om, hvorv dt Nets ever op t kr vene OCES-cert f k tpo t kken (CP) og fø ger den pr ks s, der er beskrevet Cert f c t on Pr ct ce St tement (CPS). Ende g h r D g t ser ngsstyre sen op yst, t den st ts utor serede rev sor udfører s n rev s on overensstemme se med den s k dte SAE 3000-st nd rd. Som det fremg r f boks 1, er D g t ser ngsstyre sens t synskoncept b seret p en rev sorerk ær ng, som udføres f en st ts utor seret rev sor overensstemme se med SAE 3000-st nd rden. D g t ser ngsstyre sen f nder derfor, t de h r evet op t kr vet ved t fø ge t synsr mmerne og st nd rden. Det er R gsrev s onens opf tte se, t rev sorerk ær ngen er formu eret meget overordnet og kke ndeho der nform t oner om, hv ke kontro er og tests rev sorerk ær ngen er b seret p, og hv ke g t- nfr strukturen rev s onen h r dækket. Ved t modt ge nform t oner herom k n t syn og opfø gn ng styrkes yder- gere. Rev s onen v ser, t de øvr ge undersøgte mynd gheder, som modt ger rev sorerk ær nger, modt ger nform t oner om de udførte kontro er og tests, hv ket sk ber gennems gt ghed om, hv d rev sorerk ær ngerne er b seret p, og g ver mynd ghederne mu ghed for t vurdere, om der eventue t er behov for yder gere, supp erende opfø gn ng. SKAT (for T stse v Borger) h r v gt kke t f en r g rev sorerk ær ng.
MYND GHEDERNES STYR NG AF T- S KKERHEDEN 15 Myndighedernes krav om adgang til at foretage kontrol/inspektion af it-sikkerhed hos leverandørerne 37. Ved t st e kr v om dg ng t t foret ge kontro / nspekt on hos ever ndøren (fx v tred ep rt) k n mynd ghederne supp ere den ovennævnte opfø gn ng, s den dækker e de e f t- nfr strukturen og e re ev nte kontro er. Adg ng t t foret ge kontro g ver desuden mu ghed for t kontro ere t-s kkerheden hos ever ndøren, hv s mynd gheden f nder behov for det. Det er derfor et v gt gt kr v, u nset om mynd ghederne modt ger en genere e er en systemspec f k rev sorerk ær ng. Kr ter et om dg ng t t foret ge kontro / nspekt on hos ever ndøren er kke re ev nt for Søf rtsstyre sen, der som kunde hos St tens t kke h r t opg ve t foret ge denne kontro / nspekt on. Søf rtsstyre sen h r dog som ed s n opfø gn ng mu ghed for t bede St tens t om r pporter ng om konkrete s kkerhedsforho d, som er re ev nte for deres system. 38. Rev s onen v ser, t e øvr ge mynd gheder undt gen SKAT (for T stse v Borger) fø ge kontr kten h r dg ng t t foret ge kontro / nspekt on hos ever ndøren. De k n b de se v kontro ere s kkerheden hos ever ndøren, e er de k n foret ge kontro v tred- ep rt. Rev s onen v ser ogs, t R gspo t et og SKAT (for Nyt T stse v Erhverv) h r benyttet s g f denne mu ghed og h r foret get n yser f t-s kkerheden hos ever ndøren v tred- ep rt. R gspo t et h r desuden ndført st kprøvev s kontro f ever ndørens s kkerhedsyde ser, og den r ge t-rev s on v frem drettet b ve foret get f en rev sor, som R gspo- t et og ever ndøren h r udpeget fæ essk b. RESULTATER Rev s onen v ser, t de f este mynd gheder h r st et kr v om rev sorerk ær ng og kr v om dg ng t t foret ge kontro / nspekt on f t-s kkerheden hos ever ndøren (fx v tred- ep rt). R gsrev s onen vurderer, t det er v gt gt, t mynd ghederne b ver mere bev dste om, hv d deres rev sorerk ær ng dækker/ kke dækker, s de p nden v s k n fø ge op p det, rev sorerk ær ngen kke dækker.
16 MYND GHEDERNES STYR NG AF T- S KKERHEDEN 2.3. MYNDIGHEDERNES KRAV OM OG OPFØLGNING PÅ ADGANGSSTYRING 39. Som nævnt er det v gt gt, t mynd ghederne foret ger r s kovurder nger og p b ggrund her f st er re ev nte kr v t og fø ger op p t-s kkerheden de outsourcede t-systemer. P b ggrund f mynd ghedernes r s kovurder nger k n mynd ghederne vurdere, om der er behov for t st e kr v t og fø ge op p dg ngsstyr ng e g t- nfr strukturen. Rev s onen v ser som nævnt fsn t 2.1, t R gspo t et h r v gt t mp ementere e kontro er fr SO 27001, herunder dg ngsstyr ng. ngen f de øvr ge mynd gheder h r deres r s kovurder nger begrundet fr v g forho d t dg ngsstyr ng og h r kke dokumenteret, t det kke er nødvend gt t st e kr v t og fø ge op p dg ngsstyr ng e de e f t- nfr strukturen. V h r derfor som en temper turm ng undersøgt, om mynd ghederne h r st et kr v t og fu gt op p ever ndørernes dg ngsstyr ng systemernes t- nfr struktur. Myndighedernes krav om og opfølgning på, at leverandørerne begrænser medarbejdernes adgang og foretager brugerrettighedskontrol 40. fø ge Anbef nger t styrke se f s kkerheden st tens outsourcede t-dr ft er der behov for, t mynd ghederne b.. st er kr v t dg ngskontro er, herunder kr v t, t ever ndøren vurderer behovet for med rbe deres dg ng t systemer og d t. fø ge nbef - ngerne sk mynd ghederne s kre, t ever ndørerne begrænser med rbe dernes dg ng t systemer og d t t, hv d der er behov for. Desuden sk mynd ghederne s kre, t ever ndørerne h r p ssende processer for brugerrett ghedsstyr ng og fører den nødvend ge øbende kontro hermed. o f ere med rbe dere, der h r dg ng, desto større er r s koen for m sbrug og komprom tter ng f systemer og d t. Der er de s r s ko for nternt m sbrug, hvor med rbe dere m sbruger deres rett gheder og dg ng e er h ndterer rett ghederne ufors gt gt, de s r s ko for eksternt m sbrug, hvor fx en h cker, der er trængt nd mynd ghedens t-systemer og t- nfr struktur, overt ger og m sbruger med rbe deres dg ng og rett gheder. 41. Derfor h r R gsrev s onen undersøgt, om mynd ghederne de s h r st et kr v om, t ever ndøren begrænser s ne med rbe deres dg ng t, hv d der er et rbe dsbet nget behov for, de s h r st et kr v om, t ever ndøren foret ger brugerrett ghedskontro er (dvs. kontro f, t kun godkendte med rbe dere med et rbe dsbet nget behov er b evet t de t dg ng). 42. Rev s onen v ser, t R gspo t et og SKAT (for Nyt T stse v Erhverv) h r st et begge kr v for e de e f t- nfr strukturen. Der mod h r SKAT (for T stse v Borger), STAR og D g t ser ngsstyre sen enten st et genere e, upræc se kr v e er kun st et kr v t en de f t- nfr strukturen, mens Søf rtsstyre sen kke h r st et d sse kr v.
MYND GHEDERNES STYR NG AF T- S KKERHEDEN 17 Fx h r STAR ft egrund get f st gt, t ever ndøren sk foret ge dg ngsstyr ng de konkrete de e f t- nfr strukturen (for DFDG), som opbev rer og beh nd er persond t. Det er R gsrev s onens opf tte se, t dette dækker g 1-4, og t kr vet derfor kke gæ der for resten f t- nfr strukturen. Rev s onen h r v st et eksempe p, hv ken konsekvens det k n h ve, n r mynd ghederne kke gør det k rt, t et kr v om fx dg ngsstyr ng omf tter e de e f t- nfr strukturen, og der derfor er rum for forto kn ng forho d t ever ndørens forp gte se, f. boks 2. BOKS 2 EKSEMPEL PÅ KONSEKVENSEN AF UKLARHED OM, HVORV DT KRAV GÆLDER ALLE DELE AF T- NFRASTRUKTUREN En f de undersøgte mynd gheder h r st et et kr v om, t ever ndøren begrænser s ne med- rbe deres dg ng ud fr et rbe dsbet nget behov, og forventede, t kr vet g dt for he e t- nfr strukturen. Vores rev s on v ser m d ert d, t ever ndøren t od dg ng for et stort nt personer, der kke e h vde et spec f kt rbe dsbet nget behov, t det serverrum, hvor mynd ghedens system er p ceret ( g 8 t- nfr strukturen (fys sk ok t on)). 43. R gsrev s onen h r desuden undersøgt, om mynd ghederne h r fu gt op p, t ever ndørerne h r foret get brugerrett ghedskontro er. 44. Rev s onen v ser, t R gspo t et og STAR h r fu gt op p, t ever ndøren h r foret get brugerrett ghedskontro er e de e f t- nfr strukturen. R gspo t et h r fu gt op herp e de e f t- nfr strukturen ved h æ p f systemspec f kke rev sorerk ær nger og h r ogs p nden v s konkret fu gt op p dg ngsstyr ng og ogn ng. BRUGERRETTIGHEDS- KONTROL Brugerrett ghedskontro er en kontro f, t kun godkendte med rbe dere med et rbe dsbet nget behov er b evet t de t dg ng og rett gheder t systemer og d t. STAR h r fu gt op v en genere rev sorerk ær ng, som dækker ever ndørens fæ es t-m - ø ( g 5-8 t- nfr strukturen) STAR h r udført supp erende opfø gn ng p ever ndørens brugerrett ghedskontro er for g 1-4 og h r derfor fu gt op e de e f t- nfr strukturen. D g t ser ngsstyre sen og SKAT (for Nyt T stse v Erhverv) h r kun fu gt op p ever ndørens brugerrett ghedskontro de e f t- nfr strukturen, mens SKAT (for T stse v Borger) og Søf rtsstyre sen kke h r fu gt op. Fx h r D g t ser ngsstyre sen fu gt op p ever ndørens brugerrett ghedskontro v en systemspec f k rev sorerk ær ng. Som nævnt fsn t 2.2 ndeho der rev sorerk ær ngen kke nform t oner om, hv ke kontro er og tests rev sorerk ær ngen er b seret p, e er hv ke g t- nfr strukturen rev sor h r gennemg et. Lever ndørens eksterne rev sor h r op- yst t R gsrev s onen, t deres rev s on h r dækket dg ngsstyr ng (herunder brugerrett ghedskontro ) og ogn ng væsent ge de e f t- nfr strukturen. D g t ser ngsstyre sen h r kke se v ndhentet op ysn nger om de udførte kontro er og tests og h r derfor kke med s kkerhed kunnet v de, om rev sorerk ær ngen dækker e de e f t- nfr strukturen.
18 MYND GHEDERNES STYR NG AF T- S KKERHEDEN Myndighedernes krav om og opfølgning på, at privilegerede brugere hos leverandørerne anvender stærke passwords 45. Pr v egerede brugere h r omf ttende dg ng og rett gheder t t-systemer og d t. Ved t bryde deres p sswords k n uvedkommende personer overt ge rett ghederne og t tv nge s g dg ng t t-systemer og d t. Mynd ghederne k n m ndske denne r s ko ved t st e kr v om, t de pr v egerede brugere hos ever ndøren nvender stærke p sswords. Der f ndes ogs ndre v gt ge s kkerhedst t g, som k n begrænse denne r s ko, fx segmenter ng og to-f ktorv der ng. Stærke p sswords er dog en b s form for dg ngsstyr ng. Mynd ghedernes r s kovurder nger h r kke dokumenteret, t ever ndørerne h r s kkerhedsfor nst tn nger, der begrænser re ev nsen f stærke p sswords. 46. Derfor h r R gsrev s onen undersøgt, om mynd ghederne h r st et kr v om, t pr v egerede brugere hos ever ndørerne nvender stærke p sswords. 47. Rev s onen v ser, t R gspo t et, STAR, D g t ser ngsstyre sen og Søf rtsstyre sen h r st et kr v herom e de e f t- nfr strukturen. Der mod h r SKAT (for Nyt T stse v Erhverv) st et et genere t, upræc st kr v om, t pr v - egerede brugere hos ever ndøren nvender stærke p sswords. Det er uk rt, hv ke de e f t- nfr strukturen kr vet gæ der. SKAT h r for T stse v Borger kke st et kr v herom. 48. R gsrev s onen h r ogs undersøgt, om mynd ghederne h r fu gt op p, t pr v egerede brugere hos ever ndøren nvender stærke p sswords. 49. Rev s onen v ser, t R gspo t et som den eneste mynd ghed h r fu gt op p, t pr v egerede brugere hos ever ndøren nvender stærke p sswords, e de e f t- nfr strukturen. STAR og D g t ser ngsstyre sen h r kun fu gt op herp de e f t- nfr strukturen, mens SKAT (for begge de undersøgte systemer) og Søf rtsstyre sen kke h r fu gt op. Uklarhed om tilsynsforpligtelsen, herunder pligten til at stille krav om og følge op på adgangsstyring 50. Rev s onen v ser, t der er uk rhed om nsv rs- og opg veforde ngen forho d t t synet med St tens t me em F n nsm n ster et s mt henho dsv s Søf rtsstyre sen og STAR, som er kunder hos St tens t, f. b g 2. 51. STAR og Erhvervs- og Vækstm n ster et, herunder Søf rtsstyre sen, h r op yst, t de 2 styre ser kke h r været opmærksomme p deres forp gte ser med hensyn t kr v og opfø gn ng forho d t St tens t. Det sky des, t de h r en nden opf tte se f nsv rs- og opg veforde ngen forho d t t synet med St tens t me em F n nsm n ster et og de 2 styre ser, herunder omf nget f deres forp gte ser og F n nsm n ster ets t syn.