Det er stærkt bekymrende, at offentlige virksomheder tilsyneladende slækker på sikkerheden, selv om de skal beskytte borgernes private oplysninger.
Sådan siger flere IT-ordførere, efter en ny rapport afslører, at it-sikkerheden hos firmaet CSC, der blandt andet håndterer følsomme oplysninger for staten, har haltet på en række punkter. It-firmaet har ifølge rapporten også været lang tid om få rettet fejlene.
- Det sejler med databeskyttelsen af vores personfølsomme oplysninger. De folk, der har ansvaret hos CSC, har på ingen måde opfyldt deres opgave godt nok, siger Venstres retsordfører, Karsten Lauritzen.
Han føler ikke, at hans egne oplysninger er sikre hos CSC eller andre af statens it-leverandører.
- Det er bekymrende, men sådan er det altså bare, siger han.
Større politisk fokus
CSC har blandt andet ansvaret for CPR-registeret og politiets mailsystem, og Karsten Lauritzen efterlyser et langt højere fokus på it-sikkerheden i de virksomheder, der arbejder med personfølsomme oplysninger.
- Vi politikere må sørge for, at der kommer et større fokus på det, men vi må også kræve af it-firmaerne, at de optimerer deres indsats. De har altså en stor forpligtelse overfor staten, siger han, og understreger, at selvom det er dyrt at skærpe sikkerheden, så må og skal firmaerne prioritere det højest.
Det politiske fokus er vigtigt, siger it-ordfører, Karin Gaardsted (S), men det er altså primært virksomhedernes ansvar at sørge for, at danskernes data er godt nok beskyttet.
- Jeg har en meget stærk forventning om, at de virksomheder, der arbejder med personfølsomme oplysninger, er ekstremt fokuserede på at forbedre deres it-sikkerhed hele tiden, siger hun.
Flere angreb i fremtiden
Rapporten om sikkerheden hos CSC er udarbejdet af politiets og forsvarets efterretningstjenester, PET og FE, efter CSC i 2012 var udsat for et storstilet hackerangreb.
Den seneste tid har der været flere eksempler på hackerangreb mod danske virksomheder, og vi skal ikke forvente, at antallet af angreb bliver mindre i fremtiden, siger Karin Gaardsted.
- Vi vil kun opleve flere angreb på vores data i fremtiden, men jeg har en forventning om, at vores it-leverandører også bliver bedre til at modstå disse angreb, siger hun.
Efter hackerangrebet mod CSC fik virksomheden at vide at det var nødvendigt at gennemføre otte tiltag, som skulle udbedre det, der i rapporten kaldes "en meget betydelig svaghed".
Halvandet år efter var kun seks ud af de otte tiltag gennemført, og det bekymrer Karin Gaardsted.
-Vi skal stille større krav til at vores oplysninger bliver beskyttet. For det gør de ikke gør i dag.
CSC: Ingen kommentar til kritikpunkter
I CSC mener man, at man har arbejdet "aktivt og konstruktivt" sammen med CSCF (Center for Cybersikkerhed) og PET i forbindelse med den undersøgelse, der har afledt rapporten. Kritikpunkterne vil de dog ikke kommentere på, lyder det.
- CSC kan ikke kommentere på de specifikke kritikpunkter fremført af eksperterne i den pågældende artikel, da de knytter sig til en verserende retssag, siger Jette Aagaard Madsen, nordisk chef for offentlig sektor i CSC i en pressemeddelelse.
Netop fordi angrebet var et såkaldt Zero Day Attack, var det ikke muligt for virksomheden at sikre sig imod det, siger hun.
- Et Zero Day attack er per definition et angreb, som udnytter en i branchen hidtil ukendt sårbarhed, og som der ikke findes en umiddelbar sikkerhedspatch for. Efterfølgende har CSC implementeret sikkerhedsaktiviteter, som forhindrer et lignende angreb i at kunne finde sted.