Finansudvalget 2017-18
SB 4 1
Offentligt
1818641_0001.png
4/2017
Rigsrevisionens beretning om
3 regioners beskyttelse af
adgangen til it-systemer
og sundhedsdata
afgivet til Folketinget med Statsrevisorernes bemærkninger
1849
147.281
237
1976
114.6
22.480
908
November 2017
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0002.png
4/
2017
Beretning om 3 regioners
beskyttelse af adgangen til
it-systemer og sundhedsdata
Statsrevisorerne fremsender denne beretning
med deres bemærkninger til Folketinget og
vedkommende minister, jf. § 3 i lov om
statsrevisorerne og § 18, stk. 1, i lov om
revisionen af statens regnskaber m.m.
København 2017
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres eventuelle bemærkninger Rigsrevisionens beretning til Folketinget og
vedkommende minister.
Sundhedsministeren afgiver en redegørelse til beretningen. Ministerens kommentarer til de indhentede udtalelser
fra regionsrådene indgår i redegørelsen.
Rigsrevisor afgiver et notat med bemærkninger til ministerens redegørelse.
På baggrund af ministerens redegørelse og rigsrevisors notat tager Statsrevisorerne endelig stilling til beretningen,
hvilket forventes at ske i februar 2018.
Ministerens redegørelse, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles i Stats-
revisorernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar måned – i dette
tilfælde Endelig betænkning over statsregnskabet 2017, som afgives i februar 2019.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0003.png
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Telefon: 33 37 59 87
Fax: 33 37 59 95
E-mail: [email protected]
Hjemmeside: www.ft.dk/statsrevisorerne
Yderligere eksemplarer kan
købes ved henvendelse til:
Rosendahls Lager og Logistik
Herstedvang 10
2620 Albertslund
Telefon: 43 22 73 00
Fax: 43 63 19 69
E-mail: [email protected]
Hjemmeside: www.rosendahls.dk
ISSN 2245-3008
ISBN trykt 978-87-7434-535-0
ISBN pdf 978-87-7434-536-7
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0004.png
STATSREVISORERNES BEMÆRKNING
Statsrevisorernes bemærkning
BERETNING OM 3 REGIONERS BESKYTTELSE AF
ADGANGEN TIL IT-SYSTEMER OG SUNDHEDSDATA
Center for Cybersikkerhed vurderer, at offentlige myndigheder i Danmark i stigende
grad er truet af cyberangreb. Sundhedssektorens it-systemer er udsat for en speci-
fik trussel. Fx har der i Danmark været flere angreb på sygehuse i Region Syddanmark,
som kan have haft konsekvenser for patientbehandlingen.
Regionerne har ansvaret for at beskytte sundhedsdata i Danmark. Beretningen hand-
ler om, hvordan 3 regioner – Region Syddanmark, Region Midtjylland og Region Ho-
vedstaden – beskytter adgangen til it-systemer og sundhedsdata.
Statsrevisorerne finder, at de 3 regioners beskyttelse af adgangen til it-systemer
og sundhedsdata ikke er tilfredsstillende. Hermed er der risiko for, at følsomme
og fortrolige persondata kommer i hænderne på uvedkommende eller ikke er på-
lidelige og tilgængelige, når der er brug for dem.
Statsrevisorerne bemærker:
At grundlæggende sikringstiltag mod hackerangreb ikke i tilstrækkelig grad er im-
plementeret i nogen af de 3 regioner. Særligt kritisk er det, at 27.000 medarbej-
dere i Region Syddanmark har lokaladministratorrettigheder, da det øger risikoen
for hackermisbrug.
At styring og kontrol af medarbejdere med privilegerede rettigheder er mangel-
fuld i alle 3 regioner, herunder at der er utilstrækkelig begrænsning af muligheder
for at tilgå internettet, når der logges på med privilegerede rettigheder.
At Region Syddanmark og Region Hovedstaden har passwords til system- og ser-
vicekonti, der ikke har været skiftet i lang tid – op til 9 år – og passwords, der ik-
ke lever op til god praksis.
At alle 3 regioners logningstiltag er mangelfulde, hvilket gør det vanskeligt at op-
dage og opklare hackerangreb og misbrug af rettigheder. Region Midtjylland har
ikke implementeret nogen af de undersøgte logningstiltag, selv om regionen har
udarbejdet en politik for området.
STATSREVISORERNE,
den 15. november 2017
Peder Larsen
Henrik Thorup*
)
Klaus Frandsen
Søren Gade
Henrik Sass Larsen
Villum Christensen
*
)
Statsrevisor Henrik Thorup har
ikke deltaget ved behandlingen af
denne sag på grund af inhabilitet.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0005.png
INDHOLDSFORTEGNELSE
1.  Introduktion og konklusion
1.1.
 
Formål og konklusion
1.2.
 
Baggrund
1.3.
 
Revisionskriterier, metode og afgrænsning
1
 
3
 
5
 
2.  Regionernes beskyttelse af adgangen til it-systemer og data
2.1.
 
Politik for it-sikkerhed på udvalgte områder
2.2.
 
Grundlæggende sikringstiltag mod hackerangreb
2.3.
 
Styring og kontrol af medarbejdere med privilegerede rettigheder
2.4.
 
Styring og kontrol af system- og servicekonti med privilegerede rettigheder
2.5.
 
Logning af konti med privilegerede rettigheder
Bilag 1. Metodisk tilgang
Bilag 2. Oversigt over revisionsresultaterne
Bilag 3. Ordliste
8
 
10
 
13
 
17
 
19
 
22
 
24
 
26
 
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0006.png
Rigsrevisionen har selv taget initiativ til denne undersøgelse og afgiver derfor beretningen til Stats-
revisorerne i henhold til § 17, stk. 2, i rigsrevisorloven, jf. lovbekendtgørelse nr. 101 af 19. januar 2012.
Rigsrevisionen har gennemgået regnskaberne efter § 4, stk. 1, nr. 1, jf. § 6 i rigsrevisorloven.
Beretningen vedrører finanslovens § 16. Sundheds- og Ældreministeriet.
I undersøgelsesperioden har der været følgende ministre:
Ellen Trane Nørby: november 2016 -
Karen Ellemann: februar 2017 - maj 2017 (fungerende minister)
Beretningen har i udkast været forelagt Sundheds- og Ældreministeriet, Region Hovedstaden, Region
Syddanmark og Region Midtjylland, hvis bemærkninger er afspejlet i beretningen.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0007.png
INTRODUKTION OG KONKLUSION
1
1. Introduktion og
konklusion
1.1.
FORMÅL OG KONKLUSION
HACKERANGREB
Hackerangreb dækker over
udefrakommende angreb på di-
gitale systemer eller netværk,
der giver hackerne mulighed
for at få uautoriseret adgang
til it-systemer og data.
Hackerangreb omtales også
som cyberangreb og sikker-
hedshændelser.
1. Denne beretning handler om, hvad 3 regioner – Region Syddanmark, Region Midtjylland
og Region Hovedstaden – gør for at beskytte adgangen til it-systemer, der indeholder sund-
hedsdata om borgerne. Rigsrevisionen har selv taget initiativ til undersøgelsen, der byg-
ger på it-revisioner, som Rigsrevisionen har udført i 1. halvår 2017.
2. Regionerne har ansvaret for det danske sygehusvæsen. Regionerne har dermed også an-
svaret for at beskytte sundhedsdata, der indeholder følsomme persondata om borgernes
helbred. Regionerne skal sikre, at disse data er fortrolige, men også at de er tilgængelige
og pålidelige, så patienter kan få den rette behandling til den rette tid. Derfor skal regio-
nerne beskytte borgernes sundhedsdata mod at komme i hænderne på uvedkommende.
3. I takt med den øgede digitalisering i regionerne og samfundet i øvrigt vokser truslen mod
regionernes it-systemer og data, hvilket stiller større krav til it-sikkerheden. Regionerne er
truet af udefrakommende hackerangreb, ligesom medarbejderne i regionerne kan udgøre
en risiko, hvis de bevidst eller ubevidst misbruger deres adgang til it-systemer og data.
Derfor bør regionerne dels have etableret grundlæggende sikringstiltag, der beskytter mod
hackerangreb, dels styre og kontrollere medarbejdernes adgang til it-systemer og data.
Det gælder særligt i forhold til de medarbejdere, der har privilegerede rettigheder og der-
med fuld adgang til og kontrol med it-systemerne, idet et hackerangreb mod disse medar-
bejdere vil give hackeren samme adgang og kontrol. De grundlæggende sikringstiltag kan
sammen med styring og kontrol af privilegerede rettigheder i væsentlig grad reducere ri-
sikoen for, at regionernes it-systemer og data kompromitteres.
4. Formålet med undersøgelsen er at vurdere, om de 3 regioner har en tilfredsstillende be-
skyttelse af adgangen til it-systemer og data, der er med til at sikre fortroligheden, tilgæn-
geligheden og pålideligheden af borgernes sundhedsdata.
GRUNDLÆGGENDE
SIKRINGSTILTAG
Grundlæggende sikringstiltag
bruges i denne beretning som
en samlet betegnelse for følgen-
de sikringstiltag:
begræns download af pro-
grammer
undgå afvikling af ikke-god-
kendte programmer
sikkerhedsopdatér program-
mer og styresystemer
undgå at give medarbejdere
lokaladministratorrettigheder
begræns muligheden for, at
malware kan sprede sig ube-
grænset.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0008.png
2
INTRODUKTION OG KONKLUSION
KONKLUSION
Det er Rigsrevisionens vurdering, at beskyttelsen af adgangen til it-systemer og sundheds-
data ikke er tilfredsstillende i de 3 regioner. Hermed er der risiko for, at følsomme og for-
trolige persondata kommer i hænderne på uvedkommende, og at vigtige sundhedsdata,
der indgår i behandlingen af borgere i sygehusvæsenet, ikke er pålidelige eller tilgænge-
lige, når der er brug for dem. På baggrund af undersøgelsens resultater og det nuværende
trusselsbillede finder Rigsrevisionen, at de grundlæggende tiltag mod hackerangreb og be-
skyttelse af adgangen til it-systemer og sundhedsdata bør prioriteres højt i alle landets
regioner.
Der er mangler i regionernes grundlæggende tiltag mod hackerangreb. Rigsrevisionen fin-
der det særligt kritisk, at alle ca. 27.000 medarbejdere i Region Syddanmark er lokaladmi-
nistratorer. Det øger markant risikoen for, at hackere kan misbruge medarbejdernes rettig-
heder og dermed kan tiltvinge sig adgang til og kompromittere it-systemer og sundheds-
data. I Region Midtjylland og Region Hovedstaden er der et stort antal computere med for-
ældede styresystemer, der ikke længere bliver sikkerhedsopdateret. Hermed udsætter de
2 regioner sig for en øget risiko for hackerangreb.
Rigsrevisionen finder det derudover særligt kritisk, at ledelsen i Region Syddanmark ikke
har udstukket helt overordnede rammer for it-sikkerheden på de undersøgte områder. Her-
med mangler der en klar retning for, hvordan ledelsen vil prioritere og håndtere it-sikker-
heden, så borgernes sundhedsdata beskyttes. God it-sikkerhed kræver forankring og prio-
ritering i topledelsen – især i store organisationer som regionerne.
De 3 regioner bør generelt være bedre til at styre og kontrollere medarbejdere med privi-
legerede rettigheder, fx ved løbende kontrol af, hvilke medarbejdere der skal have disse
rettigheder. De undersøgte regioner har ikke i tilstrækkelig grad begrænset medarbejder-
nes mulighed for at tilgå internettet, når de logger på med de privilegerede rettigheder.
Når det sammenholdes med, at ingen af de 3 regioner i tilstrækkelig grad begrænser med-
arbejdernes mulighed for at downloade programmer, medfører det en øget risiko for, at
medarbejderne uforvarende henter og åbner skadeligt indhold, der inficerer it-systemerne
og udsætter sundhedsdata for fare.
Region Hovedstaden og Region Syddanmark har passwords til system- og servicekonti, der
ikke er skiftet i lang tid. Rigsrevisionen fandt således passwords, der er 6-9 år gamle, og
som ikke lever op til god praksis for antallet af karakterer i et password. Hermed øges risi-
koen for internt og eksternt misbrug af adgangen til it-systemer og data. Undersøgelsen
viser dog, at alle 3 regioner har et klart fokus på at nedbringe antallet af system- og ser-
vicekonti med privilegerede rettigheder.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0009.png
INTRODUKTION OG KONKLUSION
3
De 3 regioners logningstiltag på det undersøgte område er mangelfulde. Manglende logning
gør det vanskeligt eller umuligt for regionerne at opdage og opklare hackerangreb og mis-
brug af rettigheder. Fx har Region Hovedstaden ikke etableret en systematisk gennemgang
af logfiler, mens Region Midtjylland ikke har nogen af de undersøgte logningstiltag, selv om
regionen har udarbejdet en politik for området.
De 3 regioner har oplyst, at de efterfølgende har iværksat konkrete initiativer i forhold til
de undersøgte områder, der imødekommer flere af Rigsrevisionens kritikpunkter.
1.2.
BAGGRUND
CENTER FOR CYBER-
SIKKERHED
Center for Cybersikkerhed er en
del af Forsvarets Efterretnings-
tjeneste under Forsvarsministe-
riet. Centret er sat i verden for
at hjælpe danske myndigheder
og virksomheder med at fore-
bygge, imødegå og beskytte sig
mod cyberangreb.
5. De offentlige myndigheder er i stigende grad truet af cyberangreb. Det viser en vurdering
af cybertruslen mod Danmark, som er udarbejdet af Center for Cybersikkerhed i februar
2017. Det fremgår af vurderingen, at truslen fra cyberangreb mod danske myndigheder er
meget høj, og at den er stigende i omfang og kompleksitet.
Det fremgår endvidere af vurderingen, at der er en specifik trussel mod sundhedssektorens
it-systemer. Det er bl.a. baseret på, at sundhedssektoren i udlandet i stigende grad har væ-
ret udsat for angreb. I USA, England og Tyskland er der set eksempler på, at hackere har
krypteret mails og patientjournaler, hvilket i nogle tilfælde har haft direkte konsekvenser
for patientbehandlingen. I Danmark har der været flere angreb mod sygehuse i Region Syd-
danmark – senest i maj og juni 2017, hvor 20-30 medarbejdere blev låst ude af deres com-
putere. Et af de seneste – og hidtil største – globale hackerangreb, der ramte i maj 2017,
gik blandt andre ud over britiske hospitaler, der måtte aflyse behandlingen af patienter.
6. Danske Regioner har beskrevet nødvendigheden af, at der arbejdes for at styrke regio-
nernes it-sikkerhed og dermed beskyttelsen af borgernes sundhedsdata. Det fremgår af
Danske Regioners publikation
Regionernes politiske linje for informationssikkerhed
fra
2015, at sundhedsdata er personlige, og at der således følger et særligt ansvar med, når
regionerne anvender sundhedsdata.
7. Ofte vil det være en kombination af fx svagheder i it-systemer og forkert medarbejder-
adfærd, der medfører brud på it-sikkerheden og dermed risiko for, at sundhedsdata kom-
promitteres. Dette er illustreret i figur 1, der viser, at en hacker typisk kan forsøge at ud-
nytte svagheder i it-systemer og indlede et angreb ved at sende en mail til en medarbej-
der, der uforvarende åbner det skadelige indhold. Hackeren kan på den måde via medar-
bejderen fortsætte det videre angreb og få adgang til it-systemer og data, så hackeren
afslutningsvist fx kan eksportere de ønskede data. Herved er der risiko for, at fortrolige
persondata havner i de forkerte hænder, og at data ændres, slettes eller gøres utilgæn-
gelige, hvilket vanskeliggør den fortsatte drift og opgavevaretagelse i regionen.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0010.png
4
INTRODUKTION OG KONKLUSION
FIGUR 1
ET TYPISK HACKERANGREB
INTERNET
REGIONENS NETVÆRK
IT-SYSTEMER
OG DAT
A
HACKER
Eksport
@
Indledende angreb
100111000011
000110011100
101000111100
000100111001
110110001000
000100111100
100
Videre angreb
MEDARBEJDERE
Kilde: Rigsrevisionen.
Regionerne bør derfor ikke kun have fokus på at sikre it-systemerne mod udefrakommen-
de angreb, fx ved at opdatere systemerne, men også på at styre og kontrollere medarbej-
dernes adgang til it-systemer og data, så hackere ikke kan udnytte medarbejdernes ad-
gang og rettigheder. Styring og kontrol af adgangen til it-systemer og data reducerer om-
fanget af og skaderne ved et hackerangreb og begrænser risikoen for, at medarbejdere
bevidst eller ubevidst misbruger deres adgang.
8. Rigsrevisionen har tidligere gennemført undersøgelser af it-sikkerhed og beskyttelse
af persondata i staten: beretning om forebyggelse af hackerangreb fra 2013, beretning
om statens behandling af fortrolige oplysninger om personer og virksomheder fra 2014
og senest beretning om adgangen til it-systemer, der understøtter samfundsvigtige op-
gaver fra 2015. Alle 3 undersøgelser viste, at der var utilstrækkelig beskyttelse af it-sy-
stemer og fortrolige data i staten.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0011.png
INTRODUKTION OG KONKLUSION
5
1.3.
REVISIONSKRITERIER, METODE OG AFGRÆNSNING
Revisionskriterier
9. Undersøgelsen er særligt baseret på revisionskriterier, som Rigsrevisionen tidligere har
brugt i beretningen om adgangen til it-systemer, der understøtter samfundsvigtige opga-
ver, og i beretningen om forebyggelse af hackerangreb. Revisionskriterierne lægger sig tæt
op ad vejledninger udarbejdet af Center for Cybersikkerhed. Særlig relevant er vejledningen
Cyberforsvar der virker
fra januar 2017 (1. version fra 2013). Vejledningen beskriver sikrings-
tiltag, som giver en høj grad af beskyttelse, og som reducerer risikoen for angreb væsent-
ligt. Herudover har Center for Cybersikkerhed udarbejdet en passwordvejledning og en log-
ningsvejledning, der beskriver god praksis for brug af passwords og logning.
10. Undersøgelsen omhandler 4 udvalgte områder, som reducerer risikoen for, at it-syste-
mer og data bliver kompromitteret. Det er vigtigt, at der er udarbejdet en politik for it-sik-
kerheden, og at den er forankret i topledelsen. Derfor har vi som det første undersøgt, om
regionerne har ledelsesforankrede politikker på de 4 områder. En politik sætter de overord-
nede rammer og bør være udmøntet i konkrete retningslinjer og procedurer i de relevante
afdelinger. Derfor har vi også undersøgt, i hvilket omfang regionerne har retningslinjer og
procedurer på områderne.
De 4 områder er:
grundlæggende sikringstiltag mod hackerangreb
styring og kontrol af medarbejdere med privilegerede rettigheder
styring og kontrol af system- og servicekonti med privilegerede rettigheder
logning af konti med privilegerede rettigheder.
SYSTEM- OG SERVICE-
KONTI
System- og servicekonti anven-
des bl.a. til automatiserede
kørsler i it-driften. Det kan fx
være periodiske overførsler af
store mængder data, backup-
kørsler og overvågning af it-drif-
ten.
Vi har undersøgt, om regionerne har implementeret grundlæggende sikringstiltag, der i væ-
sentlig grad reducerer risikoen for hackerangreb. De grundlæggende sikringstiltag, fx sik-
kerhedsopdatering af programmer og operativsystemer og begrænsning af administrator-
rettigheder, er baseret på anbefalingerne fra Center for Cybersikkerhed og på Rigsrevisio-
nens vurdering af, hvilke tiltag der er grundlæggende for god it-sikkerhed. Hvis de grund-
læggende sikringstiltag ikke er på plads, kan øvrige tekniske tiltag og foranstaltninger få
reduceret deres virkning.
LOGNING
De privilegerede rettigheder giver en omfattende adgang til og kontrol med it-systemer og
data. Det er derfor vigtigt, at brugen af privilegerede rettigheder styres og kontrolleres for
at undgå misbrug internt og eksternt. De privilegerede rettigheder kan knytte sig til en-
kelte medarbejdere, men også til system- og servicekonti, som flere medarbejdere typisk
kan administrere. Styring og kontrol af privilegerede rettigheder vil derfor blive undersøgt
både for medarbejdere og for system- og servicekonti.
Herudover har vi undersøgt, om regionerne logger udvalgte handlinger, som udføres af konti
med privilegerede rettigheder. Det er vigtigt, fordi logning kan øge regionernes mulighed
for at opdage og opklare hackerangreb og misbrug af adgangen til data.
Logning øger chancen for at
kunne undersøge et angreb til
bunds. Alle handlinger på regio-
nens it-systemer genererer et
digitalt fingeraftryk, som kan
opsamles i en log. Logning af
konti med privilegerede rettig-
heder kan fx vise, om personer
har logget sig på it-systemer,
og hvad de har brugt rettighe-
derne til.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0012.png
6
INTRODUKTION OG KONKLUSION
11. De grundlæggende sikringstiltag giver sammen med styring, kontrol og logning af pri-
vilegerede rettigheder en god beskyttelse mod misbrug af adgangen til regionernes it-sy-
stemer og data. Rigsrevisionen understreger dog, at revisionskriterierne og de anbefalin-
ger, de har afsæt i, ikke er statiske. Da risikobilledet ændrer sig løbende, vil anbefalinger
til god praksis også ændre sig. Opfyldelsen af revisionskriterierne er dermed ikke ensbe-
tydende med et tilstrækkeligt it-sikkerhedsniveau fremover.
12. I undersøgelsen har vi inden for de 4 udvalgte områder vurderet, om regionerne opfyl-
der (grøn), delvist opfylder (gul) eller ikke opfylder (rød) revisionskriterierne.
Vi har for revisionskriterierne, der handler om antallet af medarbejdere med permanente
privilegerede rettigheder og om system- og servicekonti med privilegerede rettigheder,
valgt at fastsætte en grænse på 10. Det er en generel anerkendt anbefaling, at antallet
bør begrænses, og på baggrund af vores erfaringer fra it-revisionen generelt har vi vurde-
ret, at grænsen er rimelig. Kriteriet er således efter vores opfattelse udtryk for god prak-
sis på området, hvor regionerne bør bestræbe sig på at have så få medarbejdere og konti
med permanente privilegerede rettigheder som muligt. Hvis der er behov for at have et hø-
jere antal medarbejdere eller konti med permanente privilegerede rettigheder, bør ledel-
sen løbende forholde sig til og godkende dette.
Metode
13. Undersøgelsen tager udgangspunkt i 3 udvalgte regioner – Region Syddanmark, Region
Midtjylland og Region Hovedstaden. Undersøgelsen dækker hermed de 3 største regioner,
som har ansvaret for en væsentlig del af sundhedsvæsenet. Samlet dækker de 3 regioner
ca. 4,3 mio. af landets ca. 5,7 mio. borgere.
14. Vurderingen af regionernes it-sikkerhed og beskyttelse mod hackerangreb tager ud-
gangspunkt i den enkelte regions centrale netværk, som giver adgang til de it-systemer og
databaser, der indeholder borgernes sundhedsdata. Da indgangen til sundhedsdata går
gennem regionens centrale netværk, er det som udgangspunkt det netværk, vi har under-
søgt it-sikkerheden på.
15. Vurderingen af regionernes segmentering og brug af logning af konti med privilegere-
de rettigheder er testet ved hjælp af en gennemgang af udvalgte it-systemer i de 3 regio-
ner. De udvalgte systemer indeholder alle sundhedsdata og er alle koblet op på det centra-
le netværk i hver region.
ACTIVE DIRECTORY
Active Directory (AD) er et af de
mest anvendte brugeradmini-
strationssystemer, hvori regio-
nen styrer og kontrollerer ad-
gange og rettigheder til it-sy-
stemer og data.
16. Medarbejdernes rettigheder styres i brugeradministrationssystemet Active Directory
(AD). Vurderingen af, om regionerne i tilstrækkelig grad styrer og kontrollerer de privilege-
rede rettigheder, tager derfor udgangspunkt i en gennemgang af regionernes AD.
17. Undersøgelsen er baseret på resultaterne af Rigsrevisionens it-revision i Region Syd-
danmark, Region Midtjylland og Region Hovedstaden i 1. halvår 2017. Resultaterne afspej-
ler tilstanden i regionerne på revisionstidspunktet. På flere områder har regionerne efter
it-revisionens udførelse oplyst, at de har ændret eller taget initiativ til at ændre forholde-
ne. Disse oplysninger er ikke gennemgået og revideret og indgår derfor ikke i Rigsrevisio-
nens vurdering, men oplysningerne er omtalt i gennemgangen af de enkelte områder.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0013.png
INTRODUKTION OG KONKLUSION
7
Afgrænsning
18. De tiltag vedrørende beskyttelse af adgangen til it-systemer og data, som indgår i den-
ne undersøgelse, er væsentlige og effektive, men ikke udtømmende i forhold til god it-sik-
kerhed. Vi har ikke undersøgt andre supplerende sikringstiltag som fx fysisk sikkerhed eller
sikring af brug af mobile enheder og medicoteknisk udstyr.
Vi har valgt udelukkende at fokusere på beskyttelsen af adgangen til it-systemer, der in-
deholder følsomme persondata. Vi har således ikke undersøgt beskyttelsen af regionernes
administrative data, fx løndata. Vi har ikke undersøgt, om regionernes behandling af per-
sonlige oplysninger følger persondataloven.
19. Revisionen er foretaget med udgangspunkt i regionernes centrale it-afdeling, der har
ansvaret for at fastsætte rammerne for it-sikkerheden og for driften og håndteringen af
det centrale netværk, som alle sygehuse i den pågældende region er tilkoblet.
20. Revisionen er udført i overensstemmelse med standarderne for offentlig revision, jf.
bilag 1.
21. I bilag 1 er undersøgelsens metodiske tilgang beskrevet. I bilag 2 er en oversigt over
resultaterne af it-revisionerne. Bilag 3 indeholder en ordliste, der forklarer udvalgte ord og
begreber.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0014.png
8
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
2. Regionernes beskyttelse
af adgangen til it-systemer
og data
2.1. POLITIK FOR IT-SIKKERHED PÅ UDVALGTE OM-
RÅDER
22. Vi har undersøgt, om regionerne har en politik for, hvordan it-systemer og data beskyt-
tes gennem konkrete sikringstiltag. Baggrunden herfor er, at ledelsen bør have fastsat
overordnede rammer, der gør det tydeligt for de relevante medarbejdere i organisationen,
hvordan de skal agere for at imødegå misbrug af og angreb på it-systemer og sundheds-
data. Skriftlige politikker, retningslinjer og procedurer på områderne mindsker også risiko-
en for, at relevant viden og oplysninger er knyttet til få medarbejdere og dermed kan gå
tabt, og kan være med til at sikre en mere ensartet praksis i store organisationer som re-
gionerne.
Politikkerne på området skal være godkendt af ledelsen for at sikre, at ledelsens priorite-
ring er tydelig og er med til at understøtte, at der er overensstemmelse mellem det it-sik-
kerhedsniveau, som regionens ledelse ønsker, og den faktiske it-sikkerhed.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0015.png
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
9
23. Tabel 1 viser resultatet af vores undersøgelse af, om regionerne har udarbejdet en po-
litik, retningslinjer og procedurer for it-sikkerheden på de 4 udvalgte områder.
TABEL 1
POLITIK, RETNINGSLINJER OG PROCEDURER FOR IT-SIKKERHEDEN PÅ DE 4 UDVALGTE OMRÅDER
Region
Syddanmark
Regionen har udarbejdet en politik, retningslinjer og procedurer for grundlæggende
sikringstiltag mod hackerangreb
Regionen har udarbejdet en politik, retningslinjer og procedurer for tildeling af
privilegerede rettigheder til medarbejdere
Regionen har udarbejdet en politik, retningslinjer og procedurer for system- og
servicekonti med privilegerede rettigheder
Regionen har udarbejdet en politik, retningslinjer og procedurer for logning af konti
med privilegerede rettigheder
Ikke opfyldt
Delvist opfyldt
Opfyldt
Kilde: Rigsrevisionen.
Region
Region
Midtjylland Hovedstaden
Det fremgår af tabel 1, at niveauet for politikker, retningslinjer og procedurer på området
er forskelligt mellem regionerne. Region Hovedstaden har udarbejdet både politik, retnings-
linjer og procedurer på alle 4 udvalgte områder.
Region Midtjylland har udarbejdet en politik, retningslinjer og procedurer på næsten alle
områder. Regionen har kun i nogen grad udarbejdet en politik, retningslinjer og procedurer
for system- og servicekonti med privilegerede rettigheder, da der kun er få, overordnede be-
skrivelser af system- og servicekonti i regionens øvrige politikker og retningslinjer. Regio-
nen har oplyst, at der efterfølgende er udarbejdet retningslinjer for system- og servicekonti.
Region Syddanmark har ikke udarbejdet en politik, retningslinjer og procedurer på 3 af om-
råderne. Regionen har kun i nogen grad udarbejdet en politik, retningslinjer og procedurer
for tildeling af privilegerede rettigheder, da regionen kun har en retningslinje på området,
der er udarbejdet af it-afdelingen, og som derved ikke er ledelsesgodkendt. Regionen har
oplyst, at regionen efterfølgende har udarbejdet politikker, retningslinjer og procedurer for
brugen af privilegerede rettigheder tilknyttet medarbejdere og system- og servicekonti, og
at regionen fremadrettet vil sikre yderligere dokumentation og forankring af it-sikkerheds-
området.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0016.png
10
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
2.2. GRUNDLÆGGENDE SIKRINGSTILTAG MOD
HACKERANGREB
MALWARE
Malware er en sammentræk-
ning af de engelske ord mali-
cious software. Malware er en
fællesbetegnelse for ondsinde-
de computerprogrammer, der
gør skadelige eller uønskede
handlinger på brugerens com-
puter.
24. Vi har undersøgt, om regionerne har implementeret grundlæggende sikringstiltag mod
hackerangreb. Regionerne skal forhindre, at hackere eller malware kommer ind og spreder
sig i it-systemerne. Derfor er det vigtigt, at regionerne implementerer grundlæggende sik-
ringstiltag, da de i væsentlig grad reducerer risikoen for hackerangreb.
25. Tabel 2 viser resultatet af vores undersøgelse af, om regionerne har implementeret
grundlæggende sikringstiltag mod hackerangreb.
TABEL 2
GRUNDLÆGGENDE SIKRINGSTILTAG MOD HACKERANGREB
Region
Syddanmark
Regionen har begrænset download af programmer
Regionen har sikret, at kun godkendte programmer kan afvikles
Regionen har sikret, at regionen kan hente sikkerhedsopdateringer fra producen-
terne af relevante produkter
Regionen har løbende gennemført sikkerhedsopdateringer af relevante produkter,
der kan opdateres
Regionen har sikret, at ingen medarbejdere har lokaladministratorrettigheder
Regionen har etableret tiltag, fx segmenteret netværket, så en inficering i form af
hackere eller malware ikke kan sprede sig ubegrænset
Ikke opfyldt
Delvist opfyldt
Opfyldt
Kilde: Rigsrevisionen.
Region
Region
Midtjylland Hovedstaden
Begrænsning af download af programmer
DOWNLOAD
kendetegner
den proces, hvor et program
hentes fra internettet.
26. Det er muligt at opstille begrænsninger, så medarbejderne ikke selv kan downloade
programmer fra internettet. Hermed undgås det, at medarbejderne bevidst eller ubevidst
downloader skadelige programmer, fx en hackers program. Vi har derfor undersøgt, om re-
gionerne har implementeret tekniske begrænsninger, så medarbejderne ikke selv kan down-
loade programmer fra internettet.
27. Det fremgår af tabel 2, at ingen af de 3 regioner i tilstrækkelig grad har begrænset med-
arbejdernes mulighed for at downloade programmer fra internettet.
INSTALLATION
kendeteg-
ner den proces, hvor et program
pakkes ud og klargøres til brug
på computeren.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0017.png
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
11
Region Midtjylland har ikke begrænset download af programmer, men har sikret, at kun god-
kendte programmer kan afvikles, hvilket mindsker risikoen for, at regionens it-systemer bli-
ver inficeret med malware.
Region Hovedstaden og Region Syddanmark har implementeret en løsning, hvor download-
et materiale undersøges i et begrænset og lukket miljø, inden det afleveres til medarbej-
deren. I begge regioner viser undersøgelsen dog, at det er muligt at downloade almindeli-
ge filtyper, der typisk kan være årsag til, at skadeligt indhold inficerer it-systemer.
AFVIKLING
kendetegner den
proces, hvor et program åbnes
og kører på computeren.
Der findes programmer, som kan
afvikles uden at være installe-
ret. Det er typisk tilfældet for
malware – altså skadelige pro-
grammer, som hackere benyt-
ter sig af.
Sikring af, at kun godkendte programmer kan afvikles
28. Ved at begrænse medarbejdernes muligheder for at afvikle programmer begrænses
hackernes muligheder for at trænge ind i it-systemerne. Det er derfor vigtigt for it-sikker-
heden, at regionerne sikrer, at kun godkendte programmer kan afvikles af medarbejderne.
Den sikreste model er en såkaldt whitelisting, dvs. en systemunderstøttet liste over god-
kendte programmer. En sådan liste vil medføre, at de programmer, der ikke er på listen, ik-
ke kan blive afviklet. En anden – men mindre sikker model – er blacklisting, hvor regionen
forhindrer afvikling af en række programmer, som regionen ved er skadelige. Ulempen ved
denne model er, at den ikke fanger ukendte, skadelige programmer, og at den kræver høj
grad af regelmæssig opdatering for at være virksom.
29. Det fremgår af tabel 2, at det kun er Region Midtjylland, der har implementeret en white-
listing-teknologi, som sikrer, at kun godkendte programmer kan afvikles af medarbejderne.
Undersøgelsen viser, at Region Hovedstaden og Region Syddanmark ikke har etableret en
whitelisting-løsning, men at de har sikret, at kendte, skadelige programmer ikke kan af-
vikles (blacklisting). Der er dog stadig en risiko for, at skadelige programmer, som ikke er
kendte, afvikles, og dermed øges risikoen for hackerangreb. Region Hovedstaden har op-
lyst, at regionen er ved at indføre en whitelisting-løsning.
Sikring af, at regionen kan hente sikkerhedsopdateringer fra producenterne af rele-
vante produkter
30. Hackere kan udnytte svagheder i computerens styresystem. De kan også udnytte svag-
heder i computerens programmer som fx Adobe Reader, Adobe Flash Player, Java og brow-
sere, der findes på langt størstedelen af alle medarbejderes computere. Disse svagheder
kan dog minimeres, hvis programmerne systematisk sikkerhedsopdateres. Producenterne
udsender regelmæssigt nye sikkerhedsopdateringer. Hyppigheden afhænger bl.a. af, hvor-
når producenten bliver opmærksom på en sikkerhedsbrist. Vi har derfor undersøgt, om re-
gionerne systematisk kan hente sikkerhedsopdateringer til udvalgte programmer og ope-
rativsystemer.
31. Det fremgår af tabel 2, at det kun er Region Syddanmark, der henter sikkerhedsopda-
teringer til alle relevante produkter. Region Hovedstaden har ca. 800 computere med Win-
dows XP på netværket, som ikke længere sikkerhedsopdateres. Regionen har oplyst, at com-
puterne er beskyttet bag ekstra firewalls og løbende bliver udfaset, så antallet pr. 1. juli
2017 er reduceret til 497 computere med Windows XP.
WINDOWS XP
Windows XP er et styresystem,
som ikke længere opdateres. I
forbindelse med hackerangre-
bet i maj 2017 udsendte produ-
centen helt ekstraordinært sik-
kerhedsopdateringer til styre-
systemet.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0018.png
12
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
Region Midtjylland har ca. 7.000 computere med Windows XP og ca. 250 servere med et
operativsystem, som producenten ikke længere supporterer. Regionen har dog etableret
kompenserende foranstaltninger, fx begrænsning af afvikling af programmer, der bidra-
ger til at mindske risikoen for inficering med malware. Regionen har i øvrigt oplyst, at re-
gionen har planer om, at hovedparten af computerne afvikles i løbet af 2017, så regionen
har ca. 500 computere med Windows XP tilbage, og at disse vil være skærmet og indkaps-
let.
Løbende gennemførelse af sikkerhedsopdateringer af relevante produkter, der kan
opdateres
32. Det er vigtigt, at regionerne løbende gennemfører sikkerhedsopdateringer af relevante
programmer og operativsystemer.
33. Det fremgår af tabel 2, at alle 3 regioner løbende gennemfører sikkerhedsopdateringer
af de programmer og operativsystemer, der kan sikkerhedsopdateres.
Sikring af, at ingen medarbejdere har lokaladministratorrettigheder
34. Regionerne kan opsætte computerne, så medarbejderne er lokaladministratorer og der-
med har det højeste niveau af adgang og kontrol over computeren. Ved at overtage lokal-
administratorens rettigheder kan en hacker fx lukke antivirusfunktionen og andre funktio-
ner på computeren, der har til formål at begrænse hacking, og bevæge sig videre i regio-
nens it-systemer. Som lokaladministrator kan hackeren desuden installere forskellige ska-
delige programmer på computeren. Vi har derfor undersøgt, om regionerne har begrænset
brugen af lokaladministratorer.
35. Det fremgår af tabel 2, at Region Hovedstaden og Region Midtjylland har sikret, at med-
arbejderne ikke er lokaladministratorer på de computere, de har adgang til.
I Region Syddanmark har alle ca. 27.000 medarbejdere i regionen lokaladministratorrettig-
heder. Hermed udsætter regionen sig for en markant øget risiko for, at medarbejdere – be-
vidst eller ubevidst – installerer og afvikler skadelige programmer på deres computere,
som kan sprede sig og kompromittere regionens netværk. Regionen har oplyst, at regio-
nen har foretaget en række kompenserende handlinger for at reducere de trusler, som ad-
gangen til selv at kunne installere programmer medfører, bl.a. gennem monitorering af al
ind- og udgående trafik, hvilket efter regionens opfattelse er en mere moderne tilgang til
it-sikkerhed. Regionens kompenserende tiltag vedrørende overvågning og detektering er
reaktive og ikke forebyggende. Derfor er det vores opfattelse, at disse tiltag ikke bør stå
alene, og at regionen uanset tiltagene bør begrænse brugen af lokaladministratorer, da
det er et grundlæggende og forebyggende sikringstiltag. Regionen har endvidere oplyst,
at regionen er gået i gang med et projekt, der bl.a. omfatter nedlæggelse af lokaladmini-
stratorrettigheder.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0019.png
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
13
Etablering af tiltag, fx segmenteret netværket, så en inficering i form af hackere eller
malware ikke kan sprede sig ubegrænset
36. Hvis det lykkes en hacker at trænge ind i it-systemerne, er det vigtigt, at skaderne fra
hackerangrebet begrænses. Det kan fx opnås ved, at regionerne segmenterer – altså ad-
skiller – de mest kritiske systemer fra det øvrige netværk. På den måde begrænses hack-
erens eller malwarens muligheder for at sprede sig i systemerne, og skaderne af et angreb
mindskes.
37. Det fremgår af tabel 2, at ingen af de 3 regioner har segmenteret netværket omkring
de it-systemer, vi har undersøgt.
Region Midtjylland har segmenteret netværket delvist, idet ét af de undersøgte it-syste-
mer er adskilt fra det øvrige netværk. De øvrige undersøgte it-systemer er ikke segmen-
teret. Regionen har i øvrigt etableret kompenserende foranstaltninger, herunder firewalls,
på computerne, der i nogen grad mindsker spredning af skadeligt indhold.
Region Hovedstaden har ikke adskilt de udvalgte it-systemer, men har etableret kompen-
serende foranstaltninger, der i en vis udstrækning modvirker, at skadeligt indhold kan spre-
de sig, fx ved at beskytte computere med avanceret antivirus. Regionen har oplyst, at Sund-
hedsplatformen er på et segmenteret netværk, og at der er iværksat et projekt, der vil få
alle de kritiske systemer på segmenterede netværk.
Region Syddanmark har ikke etableret segmentering af regionens netværk, men har etab-
leret kompenserende foranstaltninger, der i en vis udstrækning begrænser kommunikatio-
nen mellem computerne i regionens netværk, og som dermed også i nogen grad begrænser
spredning af skadeligt indhold.
SEGMENTERING AF
NETVÆRK
Segmentering af netværk bety-
der, at institutionen har opdelt
netværket i afgrænsede områ-
der. Det medvirker fx til at sik-
re, at hackerangreb og malware
ikke kan sprede sig til alle it-sy-
stemer, men kun rammer en
begrænset del af netværket.
2.3. STYRING OG KONTROL AF MEDARBEJDERE MED
PRIVILEGEREDE RETTIGHEDER
38. Vi har undersøgt regionernes kontrol og styring af medarbejdere med privilegerede ret-
tigheder. Medarbejdere med privilegerede rettigheder (typisk betroede it-medarbejdere)
har udvidet adgang til og kontrol med it-systemer og data. Det er nødvendigt med sådan-
ne medarbejdere for at vedligeholde og sikre driften af it-systemer og netværk. Det er dog
vigtigt for it-sikkerheden, at antallet af disse medarbejdere begrænses, da de er et oplagt
mål for hackere, der vil misbruge medarbejdernes rettigheder til at få adgang til it-syste-
mer og data. Hvis det er nemt for en medarbejder med privilegerede rettigheder at bevæ-
ge sig rundt i systemerne, er det også nemt for en hacker. Derfor er det også vigtigt at sty-
re og kontrollere de privilegerede rettigheder, da det reducerer omfanget af og skaderne
ved et hackerangreb. Herudover mindskes risikoen for, at medarbejdere bevidst eller ube-
vidst misbruger deres rettigheder.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0020.png
14
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
39. Figur 2 viser, hvordan medarbejdernes adgang til it-systemer og data er afhængig af
tildeling af rettigheder (nøgler) til systemerne. Almindelige medarbejdere får kun adgang
(nøgle) til specifikke it-systemer og data. Betroede it-medarbejdere med privilegerede ret-
tigheder har i kraft af deres tildelte rettigheder adgang (nøgler) til mange af regionens it-
systemer og data.
FIGUR 2
RETTIGHEDER OG ADGANG TIL IT-SYSTEMER OG DATA
REGIONENS NETVÆRK
IT-MEDARBEJDER MED
PRIVILEGEREDE RETTIGHEDER
System 1
System 2
System 3
System 4
MEDARBEJDERE
Kilde: Rigsrevisionen.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0021.png
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
15
40. Tabel 3 viser resultatet af vores undersøgelse af, hvordan regionerne har styret og kon-
trolleret medarbejdernes privilegerede rettigheder.
TABEL 3
STYRING OG KONTROL AF MEDARBEJDERE MED PRIVILEGEREDE RETTIGHEDER
Region
Syddanmark
Regionen har et begrænset antal medarbejdere, der permanent har privilegerede
rettigheder
Regionen har sikret, at alle medarbejdere med privilegerede rettigheder anvender en
personlig administratorkonto
Regionen har implementeret en regelmæssig kontrol af medarbejdere med privilege-
rede adgangsrettigheder
Regionen har sikret, at personlige passwords til konti med privilegerede rettigheder
følger god praksis og er systemunderstøttede
Regionen har sikret, at medarbejdere med privilegerede rettigheder ikke kan tilgå
internettet, når de er logget på med disse rettigheder
Ikke opfyldt
Delvist opfyldt
Opfyldt
Kilde: Rigsrevisionen.
Region
Region
Midtjylland Hovedstaden
Begrænsning af antal medarbejdere, der permanent har privilegerede rettigheder
41. Jo flere medarbejdere, der permanent har fået tildelt privilegerede rettigheder, desto
større er risikoen for misbrug af rettighederne alt andet lige. Derfor bør regionerne tilstræ-
be at have så få medarbejdere, der permanent har privilegerede rettigheder, som muligt.
På den baggrund har vi undersøgt, om regionerne har et begrænset antal (under 10) be-
troede it-medarbejdere med permanente, privilegerede rettigheder, medmindre ledelsen
har forholdt sig til og godkendt et højere antal. Ledelsens godkendelse bør være en formel,
årlig godkendelse fra regionens øverste ledelse, hvoraf det fremgår, hvad der konkret be-
grunder tildelingen af rettigheder til den enkelte medarbejder.
42. Det fremgår af tabel 3, at det kun er Region Midtjylland, der har færre end 10 medarbej-
dere med permanente, privilegerede rettigheder.
Region Syddanmark havde på undersøgelsestidspunktet 11 medarbejdere med permanen-
te, privilegerede rettigheder. Antallet var dog ikke godkendt af den øverste ledelse, men
på et lavere niveau. Regionen har efterfølgende oplyst, at regionen har reduceret antallet
til 8.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0022.png
16
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
Region Hovedstaden har siden 2013 reduceret antallet af medarbejdere med privilegere-
de rettigheder væsentligt. Regionen har 28 medarbejdere med permanente, privilegerede
rettigheder, men antallet er ikke ledelsesgodkendt siden 2013, og der foreligger således
ikke nogen aktuel godkendelse. Regionen har oplyst, at ledelsen efterfølgende har godkendt
antallet af medarbejdere med permanente privilegerede rettigheder.
Sikring af, at alle medarbejdere med privilegerede rettigheder anvender en personlig
administratorkonto
43. Det er vigtigt at kunne kontrollere de ændringer, der foretages af medarbejdere med
privilegerede rettigheder, så eventuelt misbrug kan spores tilbage til den ansvarlige med-
arbejder. Derfor er det nødvendigt, at medarbejdere med privilegerede rettigheder anven-
der en personlig administratorkonto.
44. Det fremgår af tabel 3, at alle 3 regioner har sikret, at medarbejdere med privilegerede
rettigheder anvender en personlig administratorkonto, så det sikres, at alle ændringer fo-
retaget af disse medarbejdere er personhenførbare.
Implementering af en regelmæssig kontrol af medarbejdere med privilegerede ad-
gangsrettigheder
45. Regionerne bør sikre, at medarbejderne ikke har rettigheder og adgang til flere it-syste-
mer og data, end de har et arbejdsbetinget behov for. Det betyder, at de privilegerede ret-
tigheder bør inddrages, når der ikke længere er behov for dem. Regionerne bør derfor regel-
mæssigt foretage en dokumenteret kontrol af de tildelte rettigheder.
46. Det fremgår af tabel 3, at ingen af de 3 regioner foretager en regelmæssig kontrol af
medarbejdere med privilegerede rettigheder. Region Hovedstaden og Region Syddanmark
fører delvist en regelmæssig kontrol. Undersøgelsen viser dog, at kontrollen i begge tilfæl-
de ikke er fuldstændig. FX omfatter kontrollen ikke alle medarbejdere med udvidede ret-
tigheder. Region Hovedstaden har oplyst, at regionen har iværksat en systematisk kontrol
af medarbejdere med privilegerede rettigheder.
Region Midtjylland har ikke implementeret en regelmæssig kontrol af medarbejdere med
privilegerede rettigheder. Regionen har oplyst, at regionen fører en uformel kontrol, og at
der er iværksat et arbejde med at sikre en regelmæssig kontrol.
SYSTEMUNDERSTØT-
TELSE AF PASSWORDS
Systemunderstøttelse af pass-
words er en regel i AD, der ikke
kan afviges. Hvis institutionen
fx har implementeret system-
understøttelse af en password-
længde på mindst 9 karakterer,
er det ikke muligt at anvende
passwords på færre karakterer.
Sikring af, at personlige passwords til konti med privilegerede rettigheder følger god
praksis og er systemunderstøttede
47. Regionerne bør ved hjælp af systemunderstøttelse sikre, at passwords til konti med
privilegerede rettigheder følger god praksis for antal karakterer, kompleksitet og regel-
mæssige skift. Hermed kan regionerne mindske risikoen for, at passwords brydes, og uved-
kommende derved kan tiltvinge sig adgang til it-systemer og data. Passwords til person-
lige konti med privilegerede rettigheder bør have en længde på mindst 9 karakterer, være
komplekse, fx små og store bogstaver og tal, og skiftes inden 90 dage. Hvis regionens le-
delse har fastsat skærpede krav til passwordkvaliteten, er det disse krav, vi har lagt til
grund.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0023.png
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
17
48. Det fremgår af tabel 3, at det kun er Region Syddanmark, der lever op til passwordkra-
vene. Region Midtjylland følger ikke god praksis for længden af passwords. Derudover føl-
ger regionen ikke egne krav til, hvor ofte passwords skal skiftes. Hermed er der risiko for,
at sikkerhedsniveauet er lavere, end regionens ledelse har besluttet. Regionen har oplyst,
at passwords nu følger god praksis og er systemunderstøttede.
Region Hovedstaden har kun en mundtlig aftale om at anvende lange passwords, men den-
ne politik er ikke systemunderstøttet, så rent teknisk er det muligt at bruge kortere pass-
words. Regionen har oplyst, at regionen efterfølgende har indført systemunderstøttelse,
der sikrer, at passwords følger god praksis.
Sikring af, at medarbejdere med privilegerede rettigheder ikke kan tilgå internettet,
når de er logget på med disse rettigheder
49. Hackerangreb kan fx ske via hjemmesider, der er inficeret med malware, som spreder
sig til de besøgende på hjemmesiden. Hvis en medarbejder logger på med sine privilege-
rede rettigheder og tilgår en inficeret hjemmeside, kan hackere overtage rettighederne
og få adgang til regionens it-systemer og data. Derfor bør regionerne sikre, at medarbej-
dere ikke kan tilgå internettet, når de er logget på med de privilegerede rettigheder.
50. Det fremgår af tabel 3, at Region Midtjylland delvist har forhindret, at medarbejdere med
privilegerede rettigheder kan tilgå internettet, når de er logget på med disse rettigheder,
idet halvdelen af regionens medarbejdere med privilegerede rettigheder ikke kunne tilgå
internettet. Regionen har oplyst, at det ikke længere er muligt at tilgå internettet med pri-
vilegerede rettigheder.
Region Hovedstaden og Region Syddanmark har ingen sikringsforanstaltninger i forhold
til at forhindre internetadgangen for medarbejdere med privilegerede rettigheder, når de
er logget på med disse rettigheder. Region Syddanmark har oplyst, at regionen arbejder på
at etablere denne sikring inden udgangen af året.
2.4. STYRING OG KONTROL AF SYSTEM- OG SERVICE-
KONTI MED PRIVILEGEREDE RETTIGHEDER
51. Vi har undersøgt regionernes styring og kontrol af system- og servicekonti med privile-
gerede rettigheder. System- og servicekonti med privilegerede rettigheder giver samme
omfattende adgang og beføjelser til it-systemer og data, som de privilegerede rettigheder,
der knytter sig til medarbejdere. System- og servicekonti kan – i modsætning til personli-
ge administratorkonti – typisk administreres af flere medarbejdere og er derfor ikke per-
sonhenførbare. Dermed er det også vanskeligere at spore brugen af rettigheder tilbage til
konkrete medarbejdere. Regionerne bør derfor ud fra et it-sikkerhedshensyn styre og kon-
trollere system- og servicekonti med privilegerede rettigheder.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0024.png
18
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
52. Tabel 4 viser resultatet af vores undersøgelse af, hvordan regionerne har styret og
kontrolleret de privilegerede rettigheder, der knytter sig til system- og servicekonti.
TABEL 4
STYRING OG KONTROL AF SYSTEM- OG SERVICEKONTI MED PRIVILEGEREDE RETTIGHEDER
Region
Syddanmark
Regionen har et begrænset antal system- og servicekonti med privilegerede
rettigheder
Regionen har sikret, at passwords til system- og servicekonti med privilegerede
rettigheder følger god praksis og er systemunderstøttede
Ikke opfyldt
Delvist opfyldt
Opfyldt
Kilde: Rigsrevisionen.
Region
Region
Midtjylland Hovedstaden
Begrænsning af antal system- og servicekonti med privilegerede rettigheder
53. I lighed med de privilegerede rettigheder, der er knyttet til medarbejdere, bør regioner-
ne begrænse antallet af system- og servicekonti med privilegerede rettigheder. Vi har der-
for undersøgt, om regionerne har et begrænset antal (under 10) system- og servicekonti
med privilegerede rettigheder, medmindre ledelsen har forholdt sig til og godkendt et hø-
jere antal.
54. Det fremgår af tabel 4, at 2 af de 3 regioner har et begrænset antal system- og servi-
cekonti med privilegerede rettigheder. Region Midtjylland og Region Syddanmark havde
på undersøgelsestidspunktet begge 3 system- og servicekonti med privilegerede rettig-
heder. Region Syddanmark har efterfølgende oplyst, at regionen har reduceret antallet
fra 3 til 0.
Region Hovedstaden har 29 system- og servicekonti med privilegerede rettigheder. Regio-
nen har oplyst, at det skyldes historiske årsager, og at nye system- og servicekonti som
udgangspunkt ikke får tildelt disse rettigheder. Undersøgelsen viser, at regionens ledelse
i 2013 blev orienteret om og godkendte antallet af system- og servicekonti. Ledelsen er
siden regelmæssigt orienteret om antallet af system- og servicekonti. Der har dog ikke væ-
ret en årlig, formel godkendelse fra ledelsen, hvor det fremgår, hvad der konkret begrun-
der tildelingen af de privilegerede rettigheder til disse konti. En sådan formel godkendel-
se foreligger ikke siden 2013. Regionen har oplyst, at ledelsen efterfølgende har godkendt
antallet af system- og servicekonti med privilegerede rettigheder.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0025.png
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
19
Sikring af, at passwords til system- og servicekonti med privilegerede rettigheder føl-
ger god praksis og er systemunderstøttede
55. Regionerne bør ved hjælp af systemunderstøttelse sikre, at passwords til system- og
servicekonti med privilegerede rettigheder følger god praksis med hensyn til antal karak-
terer og kompleksitet. Hermed kan regionerne mindske risikoen for, at passwords brydes,
og uvedkommende derved kan tiltvinge sig adgang til it-systemer og data. Passwords til
system- og servicekonti med privilegerede rettigheder bør have en længde på mindst 15
karakterer og være komplekse, fx små og store bogstaver samt tal. Hvis regionens ledel-
se har fastsat skærpede krav til passwordkvaliteten, er det disse krav, vi har lagt til grund.
56. Det fremgår af tabel 4, at det kun er Region Midtjylland, der har sikret, at passwords
til privilegerede system- og servicekonti lever op til god praksis. Alle regionens passwords
til system- og servicekonti er maskingenererede og længere end 15 karakterer.
I Region Syddanmark er 2 ud af 3 passwords til system- og servicekonti fra 2008, og de le-
ver ikke op til regionens gældende passwordpolitik, da passwordene kun er på 8 karakte-
rer. Den gældende politik indebærer, at nye passwords til system- og servicekonti gene-
reres automatisk, og at de er komplekse og på minimum 24 karakterer. Autogenererede
passwords er typisk komplicerede og lange og er derfor vanskelige at bryde. Regionen har
oplyst, at passwordene er blevet ændret og nu lever op til regionens passwordpolitik.
Region Hovedstaden har de seneste 3 år autogenereret passwords til system- og service-
konti. Disse passwords er komplekse og på mindst 16 karakterer. Undersøgelsen viser dog,
at kun 4 passwords er fra denne periode. De øvrige passwords er primært fra 2010 og 2011,
mens et enkelt er fra 2009. Regionen har oplyst, at disse passwords som udgangspunkt
ikke følger regionens gældende passwordpolitik.
2.5. LOGNING AF KONTI MED PRIVILEGEREDE RETTIG-
HEDER
57. Vi har undersøgt regionernes logning af konti med privilegerede rettigheder. Regioner-
ne kan ikke forvente at forhindre alle angreb. Derfor er det vigtigt, at regionerne er i stand
til at opdage sikkerhedshændelser hurtigst muligt, hvilket logning bl.a. bidrager til. Log-
ning kan fx vise, om uvedkommende – både interne og eksterne – har haft adgang til it-sy-
stemer, og hvilke handlinger og ændringer der er foretaget i systemerne.
De privilegerede rettigheder giver som nævnt det højeste niveau af rettigheder og adgang
til regionernes it-systemer og data. Det er derfor særligt vigtigt, at regionerne sikrer en
tilstrækkelig logning af anvendelsen af disse rettigheder med henblik på at kunne opdage
og opklare misbrug og sikkerhedshændelser.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0026.png
20
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
58. Tabel 5 viser resultatet af vores undersøgelse af, om regionerne har sikret logning af
konti med privilegerede rettigheder.
TABEL 5
LOGNING AF KONTI MED PRIVILEGEREDE RETTIGHEDER
Region
Syddanmark
Regionen har sikret, at konti med privilegerede rettigheder logges, når de starter
programmer, så sporbarheden sikres
Regionen har sikret, at logfiler gennemgås regelmæssigt med henblik på at opdage
uautoriserede ændringer eller uhensigtsmæssigheder i it-miljøet
Regionen har sikret, at medarbejdere med privilegerede rettigheder, der logges, ikke
har adgang til loggen
Ikke opfyldt
Delvist opfyldt
Opfyldt
Kilde: Rigsrevisionen.
Region
Region
Midtjylland Hovedstaden
Sikring af, at konti med privilegerede rettigheder logges, når de starter programmer,
så sporbarheden sikres
59. Vi har undersøgt, om konti med privilegerede rettigheder bliver logget, når de starter
programmer i udvalgte it-systemer, der indeholder følsomme persondata. Det er vigtigt,
at regionerne logger konti med privilegerede rettigheder, når de starter et program, fordi
det giver mulighed for at se, om der fx er startet programmer, webbrowsere eller andet,
som kan have kompromitteret it-systemet.
60. Det fremgår af tabel 5, at ingen af de 3 regioner har sikret, at konti med privilegerede
rettigheder logges, når de starter programmer.
I Region Hovedstaden logges konti med privilegerede rettigheder, når der logges på og af
it-systemerne, men ikke når de starter programmer, dvs. at man ikke kan se, hvis andre pro-
grammer er åbnet og brugt. Det er derfor ikke lige så tydeligt, hvad der er foretaget i syste-
merne. Regionen har oplyst, at regionen har igangsat et arbejde med at etablere logning
ved start af programmer, og at denne form for logning er slået til på de nyeste systemer,
herunder Sundhedsplatformen.
Region Midtjylland har oplyst, at logning ved start af programmer er en del af regionens
igangværende logningsprojekt og de tilhørende handlingsplaner. Region Syddanmark har
oplyst, at regionen i 2017 vil implementere denne form for logning.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0027.png
REGIONERNES BESKYTTELSE AF ADGANGEN TIL IT-SYSTEMER OG DATA
21
Sikring af, at logfiler gennemgås regelmæssigt med henblik på at opdage uautorise-
rede ændringer eller uhensigtsmæssigheder i it-miljøet
61. Regionerne bør gennemgå logfiler regelmæssigt – enten via medarbejdere, der er ud-
dannet i at gennemgå logfiler, eller via automatiserede overvågningssystemer. På den
måde kan regionerne opdage adfærd og hændelser i it-miljøet, der ikke er, som de bør el-
ler plejer at være.
62. Det fremgår af tabel 5, at 1 af de 3 regioner i tilstrækkelig grad har sikret, at logfiler
gennemgås regelmæssigt. I Region Syddanmark bliver logfiler automatisk opsamlet og
gennemgået.
Region Hovedstaden opsamler og gennemgår logfiler automatisk, men der er kritiske it-
systemer, som indgår i vores undersøgelse, som endnu ikke er tilsluttet den automatiske
opsamling og gennemgang af logfiler. Regionen har oplyst, at regionen arbejder på at få
alle de kritiske systemer sat op til at blive logget.
Region Midtjylland gennemgår ikke regelmæssigt logfiler for de systemer, der indgår i vo-
res undersøgelse. Regionen har oplyst, at regionen i forbindelse med et logningsprojekt
er i gang med at etablere en løsning, som på sigt vil gøre det muligt at gennemføre cen-
tral overvågning af logfiler.
Sikring af, at medarbejdere med privilegerede rettigheder, der logges, ikke har adgang
til loggen
63. Hvis en person – enten en medarbejder med privilegerede rettigheder eller en hacker,
der har overtaget disse rettigheder – har misbrugt it-systemer eller data, vil vedkommen-
de typisk forsøge at sløre eller slette sine spor i logfilerne. Regionerne bør derfor sikre, at
der er funktionsadskillelse i loggen, dvs. at privilegerede rettigheder ikke giver adgang til
logfilerne. Logfilerne bør hurtigst muligt sikres mod ændringer og sletning, så der opnås de
bedste muligheder for opklaring af sikkerhedshændelsen.
64. Det fremgår af tabel 5, at det kun er Region Syddanmark, der i tilstrækkelig grad har
sikret, at medarbejdere med privilegerede rettigheder, der logges, ikke har adgang til log-
gen, dvs. har adskilt funktionerne.
Region Hovedstaden har delvist adskilt funktionerne, men én medarbejder med privilege-
rede rettigheder kan i nogle tilfælde tilgå logfilerne. Region Midtjylland har slet ikke sik-
ret funktionsadskillelse i adgangen til loggen, hvilket øger risikoen for, at logfilerne æn-
dres eller slettes, hvis rettighederne er blevet misbrugt. I så fald kan de ikke anvendes til
at opklare sikkerhedshændelser. Regionen har oplyst, at funktionsadskillelse vil blive eta-
bleret i forbindelse med regionens logningsprojekt.
Rigsrevisionen, den 8. november 2017
Lone Strøm
/Mads Nyholm Jacobsen
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0028.png
22
METODISK TILGANG
BILAG 1. METODISK TILGANG
Formålet med undersøgelsen er at vurdere, om 3 udvalgte regioner har en tilfredsstillen-
de beskyttelse af adgangen til it-systemer og data, der er med til at sikre fortroligheden,
tilgængeligheden og pålideligheden af borgernes sundhedsdata.
Undersøgelsen er baseret på it-revisioner i de 3 regioner, som vi har udført i perioden ja-
nuar - marts 2017. De 3 regioner er Region Syddanmark, Region Midtjylland og Region Ho-
vedstaden. Undersøgelsen dækker således de 3 største regioner, som har ansvaret for en
væsentlig del af sundhedsvæsenet. Samlet dækker de 3 regioner 4,3 millioner af landets
5,6 millioner borgere.
I forbindelse med it-revisionen har vi besøgt de 3 regioner.
Revisionskriterier
Undersøgelsen er baseret på revisionskriterier, som Rigsrevisionen tidligere har brugt i be-
retningen om adgangen til it-systemer, der understøtter samfundsvigtige opgaver (2015)
og beretningen om forebyggelse af hackerangreb (2013). Revisionskriterierne lægger sig
tæt op ad vejledninger udarbejdet af Center for Cybersikkerhed. Særlig relevant er vejled-
ningen
Cyberforsvar der virker
fra januar 2017 (1. version fra 2013). Vejledningen beskriver
sikringstiltag, som giver en høj grad af beskyttelse og reducerer risikoen for angreb væsent-
ligt. Herudover har Center for Cybersikkerhed udarbejdet en passwordvejledning og en log-
ningsvejledning.
Undersøgelsen tager udgangspunkt i 4 udvalgte områder, som reducerer risikoen for, at
it-systemer og data bliver kompromitteret:
grundlæggende sikringstiltag mod hackerangreb
styring og kontrol af medarbejdere med privilegerede rettigheder
styring og kontrol af system- og servicekonti med privilegerede rettigheder
logning af konti med privilegerede rettigheder.
Vi understreger, at revisionskriterierne og de anbefalinger, de har afsæt i, ikke er stati-
ske. Da risikobilledet ændrer sig løbende, vil anbefalinger til god praksis også ændre sig.
Opfyldelse af revisionskriterierne er dermed ikke ensbetydende med et tilstrækkeligt it-
sikkerhedsniveau fremover.
Gennemgang af it-systemer
De it-systemer, der indgår i vurderingen af regionernes it-sikkerhed og beskyttelse mod
hackerangreb, tager udgangspunkt i den enkelte regions centrale netværk, som giver ad-
gang til de it-systemer og databaser, der indeholder borgernes sundhedsdata. Da indgan-
gen til sundhedsdata går gennem regionens centrale netværk, er det som udgangspunkt
det netværk, vi har undersøgt it-sikkerheden på.
Vurderingen af regionernes segmentering og brug af logning af konti med privilegerede
rettigheder er baseret på regionernes praksis i forhold til udvalgte it-systemer.
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0029.png
METODISK TILGANG
23
Udvælgelsen af disse it-systemer er baseret på følgende 4 kriterier:
Systemerne er inkluderet på regionernes liste over vigtige systemer.
Systemerne er koblet til det centrale netværk.
Systemerne indeholder følsomme persondata.
Systemerne drives af regionerne selv.
Hvor flere it-systemer kvalificerede sig ifølge kriterierne, har vi udvalgt tilfældigt.
I forhold til Region Hovedstaden bør det nævnes, at Sundhedsplatformen, der er et omfat-
tende it-projekt med centrale patientdata, ikke er udvalgt til gennemgang, da systemet
fortsat var under udrulning på undersøgelsestidspunktet.
Vi har undersøgt, om der foretages logning af, om medarbejdere med privilegerede konti
starter programmer op, der kan anvendes til at tilgå it-systemerne på uautoriseret vis. Her-
udover har vi undersøgt, om logningen i forhold til systemerne gennemgås, og om regioner-
ne har segmenteret – altså adskilt – de udvalgte systemer på netværket, så malware ikke
spredes til alle systemer ved et hackerangreb. Formålet har dermed ikke været at foreta-
ge en egentlig systemrevision af systemerne.
Medarbejdernes rettigheder styres i brugeradministrationssystemet Active Directory (AD).
Vurderingen af, om regionerne i tilstrækkelig grad styrer og kontrollerer de privilegerede
rettigheder, tager derfor udgangspunkt i AD.
Standarderne for offentlig revision
Revisionen er udført i overensstemmelse med standarderne for offentlig revision. Standar-
derne fastlægger, hvad brugerne og offentligheden kan forvente af revisionen, for at der
er tale om en god faglig ydelse. Standarderne er baseret på de grundlæggende revisions-
principper i rigsrevisionernes internationale standarder (ISSAI 100-999).
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0030.png
24
OVERSIGT OVER REVISIONSRESULTATERNE
BILAG 2. OVERSIGT OVER REVISIONSRESULTATERNE
Region
Syddanmark
Politik, retningslinjer og procedurer for it-sikkerheden på udvalgte områder
Regionen har udarbejdet en politik, retningslinjer og procedurer for grundlæggende
sikringstiltag mod hackerangreb
Regionen har udarbejdet en politik, retningslinjer og procedurer for tildeling af
privilegerede rettigheder til medarbejdere
Regionen har udarbejdet en politik, retningslinjer og procedurer for system- og
servicekonti med privilegerede rettigheder
Regionen har udarbejdet en politik, retningslinjer og procedurer for logning af konti
med privilegerede rettigheder
Grundlæggende sikringstiltag mod hackerangreb
Regionen har begrænset download af programmer
Regionen har sikret, at kun godkendte programmer kan afvikles
Regionen har sikret, at regionen kan hente sikkerhedsopdateringer fra producen-
terne af relevante produkter
Regionen har løbende gennemført sikkerhedsopdateringer af relevante produkter,
der kan opdateres
Regionen har sikret, at ingen medarbejdere har lokaladministratorrettigheder
Regionen har etableret tiltag, fx segmenteret netværket, så en inficering i form af
hackere eller malware ikke kan sprede sig ubegrænset
Styring og kontrol af medarbejdere med privilegerede rettigheder
Regionen har et begrænset antal medarbejdere, der permanent har privilegerede
rettigheder
Regionen har sikret, at alle medarbejdere med privilegerede rettigheder anvender en
personlig administratorkonto
Regionen har implementeret en regelmæssig kontrol af medarbejdere med privilege-
rede adgangsrettigheder
Regionen har sikret, at personlige passwords til konti med privilegerede rettigheder
følger god praksis og er systemunderstøttede
Regionen har sikret, at medarbejdere med privilegerede rettigheder ikke kan tilgå
internettet, når de er logget på med disse rettigheder
Ikke opfyldt
Delvist opfyldt
Opfyldt
Region
Region
Midtjylland Hovedstaden
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0031.png
OVERSIGT OVER REVISIONSRESULTATERNE
25
Region
Syddanmark
Styring og kontrol af system- og servicekonti med privilegerede rettigheder
Regionen har et begrænset antal system- og servicekonti med privilegerede
rettigheder
Regionen har sikret, at passwords til system- og servicekonti med privilegerede
rettigheder følger god praksis og er systemunderstøttede
Logning af konti med privilegerede rettigheder
Regionen har sikret, at konti med privilegerede rettigheder logges, når de starter
programmer, så sporbarheden sikres
Regionen har sikret, at logfiler gennemgås regelmæssigt med henblik på at opdage
uautoriserede ændringer eller uhensigtsmæssigheder i it-miljøet
Regionen har sikret, at medarbejdere med privilegerede rettigheder, der logges, ikke
har adgang til loggen
Ikke opfyldt
Delvist opfyldt
Opfyldt
Kilde: Rigsrevisionen.
Region
Region
Midtjylland Hovedstaden
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0032.png
26
ORDLISTE
BILAG 3. ORDLISTE
Active Directory (AD)
Et brugeradministrationssystem, hvori institutionen styrer og kontrollerer adgang og rettigheder til
it-systemer og data.
Computerprogrammer, der tjener et brugerformål. De mest anvendte applikationer (apps) til kontor-
brug er fx tekstbehandlingsprogrammer, regneark og webbrowsere.
Betegner i denne beretning en ukendt og uautoriseret person, der foretager en ulovlig handling ved
i det skjulte at skaffe sig adgang til og/eller anvende andres it-systemer eller data. Formålet med
hacking og de anvendte metoder afhænger af de personer eller organisationer, der står bag, dvs. om
det er fremmede stater, kriminelle organisationer eller individer, som på egen hånd misbruger insti-
tutionens svagheder.
Angreb på digitale systemer eller netværk, der giver hackerne mulighed for at få uautoriseret ad-
gang til it-systemer og data. Et hackerangreb kan fx have til formål at stjæle data og udnytte disse
til berigelsesformål, spionage, destruktion eller aktivistiske aktioner. Hackerangreb omtales flere
steder som cyberangreb og sikkerhedshændelse.
De filer, hvori institutionen gemmer registreringerne af oplysninger om anvendelse af og hændelser
i institutionens it-systemer og data.
Alle handlinger på regionens it-systemer genererer et digitalt fingeraftryk, som kan opsamles i en
log. Logning af konti med privilegerede rettigheder kan fx vise, om personer har logget sig på it-sy-
stemer, og hvad de har brugt rettighederne til. Logning øger chancen for at kunne undersøge et an-
greb til bunds.
Tildelingen af rettighed som lokaladministrator giver medarbejderen det højeste niveau af adgang
og kontrol over den computer, som medarbejderen arbejder ved.
En sammentrækning af de engelske ord malicious software. Malware er en fællesbetegnelse for ond-
sindede computerprogrammer, der gør skadelige eller uønskede handlinger på brugerens computer.
Indebærer, at en person uretmæssigt kan få adgang til en række af institutionens it-systemer og
data. Der kan fx være tale om, at personen uretmæssigt afbryder eller ændrer datakørsler, eller at
personen uretmæssigt ændrer, sletter eller læser/stjæler data.
Det er muligt at se, hvilken bruger der har foretaget en given handling i institutionens it-systemer.
Det højeste niveau af rettigheder, adgang og kontrol over institutionens it-systemer og data. Desu-
den kan de privilegerede rettigheder give mulighed for at omgå institutionens sikringsforanstaltnin-
ger. I nogle tilfælde kan de privilegerede rettigheder – afhængigt af institutionens systemopbyg-
ning – også give adgang til andre væsentlige it-systemer og data. Privilegerede rettigheder beteg-
ner i denne beretning de it-medarbejdere og/eller system- og servicekonti, der er medlem af ”Domain
Admins-gruppen” i AD.
Betyder, at institutionen har opdelt netværket i afgrænsede områder. Det medvirker fx til at sikre,
at hackerangreb og malware ikke kan sprede sig til alle it-systemer og data, men kun rammer en be-
grænset del af netværket.
En uventet hændelse i it-miljøet, der indikerer, at der er eller kan være noget galt.
Applikationer
Hacker
Hackerangreb
Logfiler
Logning
Lokaladministrator
Malware
Misbrug og kompromit-
tering af it-systemer
og data
Personhenførbar
Privilegerede
rettigheder
Segmentering af
netværk
Sikkerhedshændelse
 Statsrevisorerne beretning SB4/2017 - Bilag 1: Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
1818641_0033.png
ORDLISTE
27
System- og service-
konti
Anvendes bl.a. til automatiserede kørsler i it-driften. Det kan fx være periodiske overførsler af store
mængder data, backupkørsler og overvågning af it-driften. System- og servicekonti har tilknyttet
nogle rettigheder, som bestemmer, hvad kontoen kan bruges til.
De system- og servicekonti, der er omfattet af undersøgelsen, har privilegerede rettigheder.
System- og servicekonti er brugeruafhængige. Hver system- og servicekonto har ét password, som
betroede it-medarbejdere typisk har kendskab til. System- og servicekonti anvendes dermed ikke
med et personligt password. Al anvendelse af system- og servicekonti, herunder misbrug, er derfor
ikke personhenførbar.
Systemunderstøttelse
En regel, der ikke kan afviges. Hvis institutionen fx har implementeret systemunderstøttelse af en
passwordlængde på mindst 9 karakterer, er det ikke muligt at formulere passwords på færre karak-
terer.