Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

Relaterede dokumenter
Sundhedsministerens redegørelse til Statsrevisorerne vedr. Rigsrevisionens beretning nr. 11/2017 om beskyttelse mod ransomwareangreb

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

Maj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata

Rigsrevisionens notat om beretning om indsatsen over for patienter med hjerneskade

/2017. Februar Rigsrevisionens beretning om beskyttelse mod ransomwareangreb

Notat til Statsrevisorerne om beretning om Fødevareministeriets indsats mod husdyr-mrsa. Februar 2016

Rigsrevisionens notat om beretning om styring af it-sikkerhed hos it-leverandører

Rigsrevisionens notat om beretning om. Udenrigsministeriets brug af konsulenter i forbindelse med udviklingsbistanden

Rigsrevisionens notat om beretning om undervisning og aktivering af asylansøgere

Notat til Statsrevisorerne om beretning om effekten af regelforenklingsindsatsen. Maj 2014

Februar Rigsrevisionens notat om beretning om. statens indsats over for køretøjer, der udebliver fra periodisk syn

December Rigsrevisionens notat om beretning om. Forsvarets forudsætninger for at løse sine opgaver

Notat til Statsrevisorerne om beretning om brugerinddragelse og brugervenlighed i offentlige digitale løsninger. Februar 2014

Rigsrevisionens notat om beretning om Danmarks anvendelse og opgørelse af udviklingsbistanden

Notat til Statsrevisorerne om beretning om mål, resultater og opfølgning på kræftbehandlingen. Februar 2015

Rigsrevisionens notat om beretning om statens udbud af it-drift og -vedligeholdelse

Maj Rigsrevisionens notat om beretning om. udredningsretten

Rigsrevisionens notat om beretning om arkæologiske undersøgelser

Notat til Statsrevisorerne om beretning om statens planlægning og koordinering af beredskabet for større ulykker og katastrofer.

Notat til Statsrevisorerne om beretning om effekten og kvaliteten af andre aktørers beskæftigelsesindsats. December 2013

Rigsrevisionens notat om beretning om statens ejerskabsudøvelse i selskaber med flere ejere

Rigsrevisionens notat om beretning om DSB s indsats for at bygge IC4-togene færdige

Oktober Rigsrevisionens notat om beretning om. lempelsen af revisionspligten

December Notat til Statsrevisorerne om beretning om bilsyn efter liberaliseringen i 2005

Notat til Statsrevisorerne om beretning om integrationsindsatsen. Oktober 2015

Rigsrevisionens notat om beretning om hospitalslægers bibeskæftigelse

Rigsrevisionens notat om beretning om togenes punktlighed

December Rigsrevisionens notat om beretning om. indsatsen over for patienter med hjerneskade

Juni Rigsrevisionens notat om beretning om. flytningen af den forskningsbaserede myndighedsbetjening på veterinærområdet

Notat til Statsrevisorerne om beretning om Danmarks indsats i Arktis. Marts 2014

November Rigsrevisionens notat om beretning om. besparelsespotentialet ved obligatorisk Digital Post på ca. 1 mia. kr.

September Rigsrevisionens notat om beretning om. forskelle i behandlingskvaliteten

Notat til Statsrevisorerne om beretning om forvaltningen af statslige tilskud. August 2013

Oktober Rigsrevisionens notat om beretning om. åbne data

Rigsrevisionens notat om beretning om ministeriernes aktstykker om investeringsprojekter til Folketingets Finansudvalg

Oktober Rigsrevisionens notat om beretning om. information og kompensation til togpassagerer ved forsinkelser og aflysninger

Rigsrevisionens notat om beretning om indsatsen over for anbragte børn

Notat til Statsrevisorerne om beretning om statens behandling af fortrolige oplysninger om personer og virksomheder. Februar 2015

Rigsrevisionens notat om beretning om effektiv kontrol

Februar Rigsrevisionens notat om beretning om. jobcentrenes effektivitet

Marts Notat til Statsrevisorerne om statens overførsler til kommuner og regioner i 2011

Notat til Statsrevisorerne om beretning om mål, resultater og opfølgning på kræftbehandlingen. Oktober 2013

Notat til Statsrevisorerne om beretning om styring af behandlingsindsatsen. September 2014

Notat til Statsrevisorerne om beretning om mål, resultater og opfølgning på kræftbehandlingen. August 2014

Notat til Statsrevisorerne om beretning om Danmarks bistandssamarbejde. September 2014

Rigsrevisionens notat om beretning om brugervenlighed og brugerinddragelse. digitale løsninger

Notat til Statsrevisorerne om beretning om Bygningsstyrelsens anvendelse af totaløkonomi i statslige byggeprojekter. November 2014

Rigsrevisionens notat om beretning om sagsbehandlingstider ved omstruktureringen af statsforvaltningerne

Rigsrevisionens notat om beretning om regionernes brug af konsulenter

Rigsrevisionens notat om beretning om politiets henlæggelse af straffesager

Rigsrevisionens notat om beretning om udflytning af statslige arbejdspladser

Notat til Statsrevisorerne om beretning om indsatsen mod momskarruselsvindel. Juni 2013

Notat til Statsrevisorerne om beretning om status på byggeriet af Cityringen. November 2014

brug af ny anlægsbudgettering

Rigsrevisionens notat om beretning om staten som selskabsejer

Notat til Statsrevisorerne om beretning om problemerne med at udvikle og implementere Fælles Medicinkort. Februar 2015

Notat til Statsrevisorerne om beretning om Patientombuddets arbejde med utilsigtede hændelser. Februar 2016

Notat til Statsrevisorerne om beretning om Forsvarets procedurer for anskaffelse af større materiel. April 2014

Februar Notat til Statsrevisorerne om beretning om statens overførsler til kommuner og regioner i 2011

Notat til Statsrevisorerne om beretning om fejludbetalinger af sociale ydelser. Juni 2014

Notat til Statsrevisorerne om beretning om indsatsen for at få sygemeldte tilbage i arbejde. Marts 2016

Notat til Statsrevisorerne om beretning om utilsigtet brug af AMU. Marts 2013

Notat til Statsrevisorerne om beretning om forskningsmidler på hospitalerne. September 2015

Notat til Statsrevisorerne om beretning om DONG Energy A/S. September 2015

Notat til Statsrevisorerne om beretning om kvalitetsindsatser på sygehusene. August 2012

Notat til Statsrevisorerne om beretning om kvindekrisecentre. Marts 2016

Notat til Statsrevisorerne om beretning om forvaltningen af eksterne lektorers og undervisningsassistenters. November 2015

Januar Rigsrevisionens notat om beretning om. behandling af konkurrencesager

Rigsrevisionens notat om beretning om viden fra puljer på socialområdet

April Notat til Statsrevisorerne om beretning om etableringen af nationalparker i Danmark

Notat til Statsrevisorerne om beretning om vagtplanlægning i statslige institutioner. August 2015

Rigsrevisionens notat om beretning om forebyggelse af hospitalsinfektioner

Rigsrevisionens notat om beretning om energispareordningen

Rigsrevisionens notat om beretning om undervisningen på professionshøjskolerne

Notat til Statsrevisorerne om beretning om finansieringsmodellen for forsikrede lediges arbejdsløshedsdagpenge. Februar 2015

Notat til Statsrevisorerne om beretning om Forsvarets lagre. September 2015

Rigsrevisionens notat om beretning om Region Midtjyllands styring af risici og reserver i 2 sygehusbyggerier

Notat til Statsrevisorerne om beretning om Forsvarets EH-101 helikoptere (II) December 2014

Marts Rigsrevisionens notat om beretning om. Region Hovedstadens akuttelefon 1813

Notat til Statsrevisorerne om beretning om etablering af Udbetaling Danmark. August 2013

August Rigsrevisionens notat om beretning om. Ankestyrelsens sagsbehandlingstider og produktivitet

November Rigsrevisionens notat om beretning om. hospitalslægers bibeskæftigelse

December Rigsrevisionens notat om beretning om. forvaltningen af ECTSpoint på de videregående uddannelsesinstitutioner

Rigsrevisionens notat om beretning om. Bygningsstyrelsens anvendelse af totaløkonomi i statslige byggeprojekter

Marts Rigsrevisionens notat om beretning om. Patientombuddets arbejde med utilsigtede hændelser

April Rigsrevisionens notat om beretning om. samlingen af den statslige lønadministration i Finansministeriet

Notat til Statsrevisorerne om beretning om staten som selskabsejer. December 2015

Maj Rigsrevisionens notat om beretning om. TV 2-regionernes virksomhed

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Rigsrevisionens notat om beretning om Miljø- og Fødevareministeriets forvaltning af biodiversitet i statsskovene

Rigsrevisionens notat om beretning om. Statsforvaltningens tilsyn med kommunerne

Notat til Statsrevisorerne om beretning om indsatsen over for hjemløse. December 2014

Rigsrevisionens notat om beretning om forskningsmidler på hospitalerne

Rigsrevisionens notat om beretning om kvotekoncentrationen i dansk fiskeri

Rigsrevisionens notat om beretning om Beskæftigelsesministeriets data om ressourceforløb

Notat til Statsrevisorerne om beretning om viden om effekter af de sociale indsatser. Juni 2013

Rigsrevisionens notat om beretning om sygehusbyggerier II

Rigsrevisionens notat om beretning om Forsvarsministeriets effektiviseringer

Notat til Statsrevisorerne om beretning om Danmarks bistand til Tanzania. Januar 2014

Transkript:

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb Juni 2018

NOTAT TIL STATSREVISORERNE, JF. RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning nr. 11/2017 om beskyttelse mod ransomwareangreb Udenrigsministerens redegørelse af 23. april 2018 Forsvarsministerens redegørelse af 23. april 2018 Sundhedsministerens redegørelse af 30. april 2018 Transport-, bygnings- og boligministerens redegørelse af 15. maj 2018 1. juni 2018 RN 1506/18 1. Rigsrevisionen vurderer i dette notat de tiltag, som ministrene har iværksat og vil iværksætte som følge af Statsrevisorernes bemærkninger og beretningens konklusioner. Sagsforløb for en større undersøgelse Beretning KONKLUSION Sundhedsministeren, udenrigsministeren, transport-, bygnings- og boligministeren og forsvarsministeren oplyser, at de har implementeret eller planlægger at iværksætte en række tiltag, der skal imødegå de mangler, som Rigsrevisionen påpegede, og dermed beskytte institutionerne mod ransomwareangreb. Rigsrevisionen vurderer dog, at ingen af ministrene redegør for deres håndtering af alle de mangler, som Rigsrevisionen påpegede. Det skyldes, at der er tiltag, som ministrene ikke har redegjort for, og at der er tiltag, hvor det er uklart, om de imødegår de påpegede mangler. Derudover oplyser 2 ministre, at de ikke planlægger at implementere ét af tiltagene, og det er uklart, hvilke kompenserende tiltag institutionerne eventuelt har iværksat, eller om risikoen fremgår af institutionernes risikoanalyse. Rigsrevisionen har lagt til grund, at implementeringen af tiltagene sikrer en grundlæggende beskyttelse mod ransomwareangreb. Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om: Ministerredegørelse 18, stk. 4-notat Eventuelt fortsat(te) notat(er) Sagen afsluttes Du kan læse mere om forløbet og de enkelte step på www.rigsrevisionen.dk institutionernes implementering af de tiltag, hvor Rigsrevisionen påpegede mangler.

2 I. Baggrund 2. Rigsrevisionen afgav i februar 2018 en beretning om beskyttelse mod ransomwareangreb. Beretningen handlede om, hvad 4 udvalgte institutioner havde gjort for at beskytte sig selv mod ransomwareangreb. Ransomware er skadelige programmer, der fjerner adgangen til data, fx ved at data krypteres. Statslige institutioner er i meget høj grad truet af cyberangreb, hvor ransomwareangreb er ét af de mest aktuelle. Rigsrevisionen undersøgte derfor, om de 4 institutioner opfyldte 20 almindelige tiltag, der reducerer risikoen for, at ransomware kommer ind i institutionen via e-mails. Beretningen omhandlede Sundhedsdatastyrelsen (under Sundheds- og Ældreministeriet), Udenrigsministeriet, Banedanmark (under Transport-, Bygnings- og Boligministeriet) og Beredskabsstyrelsen (under Forsvarsministeriet). Rigsrevisionen udvalgte de 4 institutioner, fordi de varetager samfundsvigtige opgaver inden for sundhed, udenrigsforhold, transport og beredskab. 3. Da Statsrevisorerne behandlede beretningen, bemærkede de, at Sundhedsdatastyrelsens, Udenrigsministeriets, Banedanmarks og Beredskabsstyrelsens beskyttelse mod ransomwareangreb ikke var tilfredsstillende. Hermed var der øget risiko for, at ransomware via e-mails kunne forhindre adgang til institutionernes data, så de ikke kunne varetage deres opgaver i kortere eller længere perioder. Statsrevisorerne gjorde opmærksom på, at beskyttelse mod ransomwareangreb er en vigtig opgave for alle offentlige institutioner. Statsrevisorerne fandt det tilfredsstillende, at alle 4 institutioner inden for det seneste år har implementeret tiltag, som kan øge deres beskyttelse mod ransomwareangreb. 4. Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på www.ft.dk/statsrevisorerne. II. Gennemgang af ministrenes redegørelser Beskyttelse mod ransomwareangreb 5. Statsrevisorerne bemærkede, at ingen af de 4 undersøgte institutioner fuldt ud havde sikret, at alle deres programmer havde de nyeste sikkerhedsopdateringer. Statsrevisorerne bemærkede også, at ledelsen i Sundhedsdatastyrelsen og i Banedanmark ikke havde dækkende risikovurderinger for truslen fra ransomwareangreb. Statsrevisorerne bemærkede endelig, at Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen ikke havde reaktive tiltag, der kan sikre, at institutionerne kan genetablere normal drift, efter de er blevet ramt af ransomwareangreb. 6. Det fremgik af beretningen, at manglerne betød, at der for alle institutionerne var en øget risiko for ransomwareangreb, fx fordi institutionerne ikke i tilstrækkelig grad havde sikret, at ransomware ikke kunne finde ind i institutionernes it-netværk via e-mails, fordi institutionernes risikovurderinger af trusselsbilledet ikke var dækkende, og fordi institutionerne ikke i tilstrækkelig grad havde tiltag, der sikrer, at en normal drift kan genetableres efter et angreb. I det følgende vil vi gennemgå, hvordan de 4 institutioner har imødegået disse mangler. Det betyder, at vi gennemgår, om ministrene har redegjort for de tiltag, hvor beretningen viste, at tiltagene i institutionerne ikke var opfyldt eller var delvist opfyldt. I beretningen lagde vi til grund, at de 20 almindelig tiltag skulle implementeres af institutionerne for at opnå en grundlæggende beskyttelse mod ransomwareangreb. De 20 tiltag er opdelt i 4 kategorier: ledelsesmæssigt fokus, ydre tiltag, indre tiltag og reaktive tiltag. 7. Alle 4 institutioner oplyste i forbindelse med undersøgelsen, at de havde påbegyndt implementeringen af en række tiltag for at beskytte sig mod ransomwareangreb. De 4 ministre har fulgt op på denne status i deres redegørelser.

3 Ledelsesmæssigt fokus 8. Det fremgik af beretningen, at Sundhedsdatastyrelsen, Udenrigsministeriet og Banedanmark havde mangler i forhold til det ledelsesmæssige fokus. Rigsrevisionen vurderede bl.a., om institutionerne havde dækkende risikovurderinger, krav til backup og fulgte op på ransomwareangreb. Sundhedsministeren oplyser, at Sundhedsdatastyrelsens opdatering af styrelsens risikovurdering fra 2015 endnu ikke er afsluttet, idet styrelsen mangler at gennemføre sårbarhedsvurderinger af systemer og infrastruktur. Ministeren oplyser, at Sundhedsdatastyrelsen vil have fokus på at sårbarhedsvurdere de mest kritiske forretningsprocesser i 2018 og derefter udarbejde et første risikoregister til brug for ledelsens prioritering af sikringstiltag. Ministeren har ikke redegjort for, om Sundhedsdatastyrelsens krav til backup er godkendt af ledelsen. Ministeren oplyser også, at Sundhedsdatastyrelsen fremover vil følge op på alle identificerede ransomwareangreb med en analyse. Udenrigsministeren oplyser, at Udenrigsministeriet har udviklet en ny backuppolitik, og at den er ledelsesgodkendt i april 2018. Transport-, bygnings- og boligministeren oplyser, at Banedanmark fremover vil opdatere sin risikovurdering, så den afspejler de aktuelle risici på it-miljøet og de enkelte it-systemer og de foranstaltninger, der er implementeret, for at reducere risikoen for bl.a. ransomwareangreb. Ministeren oplyser også, at Banedanmark vil sikre, at beslutninger om ændringer af adfærd og sikkerhedsforanstaltninger, der drøftes i informationssikkerhedsudvalget, føres til referat som lessons learned. Ministeren har ikke redegjort for, hvordan Banedanmark vil sikre, at der følges op på ransomwareangreb. Ydre tiltag 9. Det fremgik af beretningen, at alle 4 institutioner havde mangler i forhold til de ydre tiltag. Rigsrevisionen vurderede bl.a., om institutionerne brugte 2-faktor login ved webmailløsninger og forhindrede, at medarbejderne kunne bruge private e-mailløsninger. Sundhedsministeren oplyser, at Sundhedsdatastyrelsen er i gang med at etablere en MDMløsning (Mobile Device Management), der giver medarbejderne sikker adgang til bl.a. e-mails via mobile enheder, og styrelsen vurderer, at adgangen til webmail herefter kan lukkes. Ministeren oplyser også, at Sundhedsdatastyrelsen ikke vil implementere tiltag, der forhindrer adgangen til private e-mailløsninger fra pc-arbejdspladsen. Udenrigsministeren oplyser, at Udenrigsministeriet har indført 2-faktor login ved webmailløsninger. Ministeren oplyser også, at ministeriet ikke vil implementere tiltag, der forhindrer medarbejdernes brug af private e-mailløsninger, da ministeriet vurderer, at det vil være en uhensigtsmæssig tung byrde i forhold til medarbejdernes arbejdsrytme og fleksibilitet. Ifølge ministeren er der i stedet gennemført tiltag, der forhindrer, at skadelige filer mv. kan downloades og afvikles. Ministeren redegør dog ikke konkret for, hvilke tiltag der skal forhindre risikoen ved adgangen til private e-mailløsninger. Transport-, bygnings- og boligministeren oplyser, at Banedanmark i forbindelse med overgangen til en ny programpakke indfører 2-faktor login til webmail. Ministeren har ikke redegjort for, hvordan Transport-, Bygnings- og Boligministeriet vil imødegå risikoen for ransomwareangreb ved at forhindre, at medarbejderne har adgang til private e-mailløsninger. Forsvarsministeren oplyser, at Beredskabsstyrelsen har udarbejdet handlingsplaner til forbedring af tiltag på de punkter, hvor Rigsrevisionen påpeger, at beskyttelsen ikke er tilstrækkelig. Ministeren har dog ikke konkret redegjort for, hvordan Forsvarsministeriet vil imødegå risikoen for ransomwareangreb ved at forhindre, at medarbejderne har adgang til private e- mailløsninger.

4 Indre tiltag 10. Det fremgik af beretningen, at alle 4 institutioner havde mangler i forhold til de indre tiltag. Rigsrevisionen vurderede bl.a., om lokaladministratorer havde et arbejdsbetinget behov, om institutionerne sikrede opdatering af tredjepartsprodukter, om privilegerede rettigheder kunne misbruges ved læsning af e-mails, og om institutionerne sikrede sig mod ubeskyttet adgang til internettet, fx via en sandboxing-løsning. Sundhedsministeren oplyser, at Sundhedsdatastyrelsen over en længere periode har nedbragt antallet af medarbejdere med lokaladministratorrettigheder væsentligt. Ministeren oplyser også, at der er etableret en SCCM-løsning, der sikrer en systematisk og automatiseret opdatering af såvel arbejdsstationer som servere, herunder tredjepartsprogrammer. Derudover har Sundhedsdatastyrelsen siden undersøgelsens afslutning identificeret og afinstalleret gamle versioner af 10-15 programmer, så det sikres, at der fremover anvendes programmer, som opdateres automatisk. Ministeren oplyser videre, at Sundhedsdatastyrelsen etablerer en whitelisting-løsning i 2018. Ministeren oplyser desuden, at Sundhedsdatastyrelsen vil undersøge, om det er muligt at implementere kontroller med henblik på at kunne følge op på eventuelle misbrug af privilegerede rettigheder, når der læses e-mails, og undersøge konsekvenser og omkostninger ved at indføre en sandboxing-løsning. Ministeren oplyser endelig, at opfølgning på awareness-aktiviteter vil finde sted i 2018, og at Sundhedsdatastyrelsen fremadrettet vil overveje, hvordan effekten af awareness-aktiviteter kan måles. Udenrigsministeren oplyser, at Udenrigsministeriet har tilpasset sine procedurer, så opdatering af tredjepartsprodukter optimeres mest muligt. Ministeren redegør ikke for, hvordan ministeriet vil følge op på effekten af awareness-aktiviteter. Transport-, bygnings- og boligministeren oplyser, at Banedanmark, i takt med at nye programmer og muligheder tages i anvendelse, vil begrænse udbredelsen af medarbejdere med lokaladministratorrettigheder og begrænse muligheden for, at medarbejdere kan anvende privilegerede rettigheder i forbindelse med læsning af e-mails. Ministeren oplyser også, at Banedanmark i øget omfang vil anvende en sandboxing-løsning i forbindelse med åbning af vedhæftede filer i indgående e-mails. Ministeren har ikke redegjort for, hvordan Banedanmark vil sikre, at kun godkendte programmer afvikles (whitelisting-løsning), eller hvilke tiltag Banedanmark har sat i værk for at sikre, at tredjepartsprodukter opdateres. Ministeren oplyser endelig, at Banedanmark fremadrettet vil gennemføre effektmålinger af awareness-aktiviteter. Forsvarsministeren oplyser, at Beredskabsstyrelsen har indført yderligere kontroller af status på installation af sikkerhedsopdateringer til tredjepartsprodukter, så det sikres, at udsendte opdateringer bliver installeret. Ministeren har ikke redegjort for, hvordan Beredskabsstyrelsen vil sikre, at kun godkendte programmer kan afvikles. Ministeren har heller ikke redegjort for, hvilke tiltag ministeren vil iværksætte for at sikre, at privilegerede rettigheder ikke misbruges ved læsning af e-mails, og om Beredskabsstyrelsen vil sikre mod udbeskyttet adgang til internettet, fx via en sandboxing-løsning. Reaktive tiltag 11. Det fremgik af beretningen, at Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen havde mangler i forhold til de reaktive tiltag. Rigsrevisionen vurderede bl.a., om institutionernes backup var beskyttet mod ransomwareangreb, og om institutionerne systematisk testede evnen til at genetablere systemer og data. Udenrigsministeren oplyser, at Udenrigsministeriet har implementeret en systematisk offline backup og har iværksat en afdækning af procedurer for, hvordan data og systemer kan genetableres.

5 Transport-, bygnings- og boligministeren oplyser, at Banedanmark har igangsat et arbejde med at prøve forskellige metoder til at gendanne systemer og data, så konsekvenserne af ransomwareangreb begrænses mest muligt. Forsvarsministeren oplyser, at Beredskabsstyrelsen har revideret styrelsens plan for test af backupsystemet, så planen nu omfatter alle kendte variationer af genetableringsscenarier. Opsummering 12. Sundhedsministeren, udenrigsministeren, transport-, bygnings- og boligministeren og forsvarsministeren oplyser, at de har implementeret eller planlægger at iværksætte en række tiltag, der skal imødegå de mangler, som Rigsrevisionen påpegede, og dermed beskytte institutionerne mod ransomwareangreb. Rigsrevisionen vurderer dog, at ingen af ministrene redegør for deres håndtering af alle de mangler, som Rigsrevisionen påpegede. Det skyldes, at der er tiltag, som ministrene ikke har redegjort for, og at der er tiltag, hvor det er uklart, om de imødegår de påpegede mangler. Derudover oplyser 2 ministre, at de ikke planlægger at implementere ét af tiltagene, og det er uklart, hvilke kompenserende tiltag institutionerne eventuelt har iværksat, eller om risikoen fremgår af institutionernes risikoanalyse. Rigsrevisionen har lagt til grund, at implementeringen af tiltagene sikrer en grundlæggende beskyttelse mod ransomwareangreb. Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om institutionernes implementering af de tiltag, hvor Rigsrevisionen påpegede mangler. Lone Strøm

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback