Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Finansudvalget 2023-24
SB 4 6
Offentligt

etning Nr. 4 Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

December 2023

Rigsrevisionens notat om

beretning om

3 regioners beskyttelse af

adgangen til it-systemer

og sundhedsdata

Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

2.. 1.

Fortsat notat til Statsrevisorerne

Opfølgning i sagen om 3 regioners beskyttelse af adgan-

gen til it-systemer og sundhedsdata (beretning nr. 4/2017)

14. november 2023

RN 1412/23

I. Baggrund og konklusion

1. Rigsrevisionen følger i dette notat op på sagen om 3 regioners beskyttelse af adgan-

gen til it-systemer og sundhedsdata, som blev indledt med en beretning i 2017. Op-

følgningen sker med henblik på at vurdere, om Region Syddanmarks, Region Midtjyl-

lands og Region Hovedstadens initiativer adresserer den kritik, der fremgår af Stats-

revisorernes bemærkninger og Rigsrevisionens beretning. Vi har tidligere behandlet

sagen i notater til Statsrevisorerne af 4. april 2018 og 21. januar 2021.

2. Beretningen handlede om, hvad 3 regioner

–

Region Syddanmark, Region Midtjyl-

land og Region Hovedstaden

–

gør for at beskytte adgangen til it-systemer, der bl.a.

indeholder følsomme persondata om borgernes helbred. Regionerne skal sikre, at dis-

se data er fortrolige, men også at de er tilgængelige og pålidelige, så patienter kan få

den rette behandling til den rette tid.

3. Da Statsrevisorerne behandlede beretningen, fandt de, at de 3 regioners beskyt-

telse af adgangen til it-systemer og sundhedsdata ikke var tilfredsstillende.

4. Ved opfølgningen i 2021 fandt Rigsrevisionen, at de 3 regioner på forskellige områ-

der fortsat havde mangler vedrørende beskyttelse af adgangen til deres it-systemer

og sundhedsdata.

Sagsforløb for en større

undersøgelse

Beretning

Ministerredegørelse

§ 18, stk. 4-notat

Fortsat notat

Sagen afsluttes

Du kan læse mere om

forløbet og de enkelte step

på

www.rigsrevisionen.dk

Konklusion

Rigsrevisionen finder det tilfredsstillende, at de 3 regioner er nået i mål med hver deres

udestående tiltag fra beretningen vedrørende beskyttelse af adgangen til it-systemer og

sundhedsdata.

Region Syddanmark har sikret, at medarbejdere med privilegerede adgangsrettigheder

ikke kan tilgå internettet, når de er logget på med disse rettigheder. Region Midtjylland

har implementeret alarmer, der vedrører anvendelsen af Domain Admin-konti, med

henblik på at opdage uautoriserede ændringer eller uhensigtsmæssigheder i it-miljøet.

Region Hovedstaden har implementeret en regelmæssig kontrol af medarbejdere med

privilegerede adgangsrettigheder.

Rigsrevisionen vurderer på den baggrund, at sagen kan afsluttes.

Domain Admin-konti

It-medarbejderkonti, der er

medlem af ”Domain Admins-

gruppen” i

brugeradministra-

tionssystemet Active Direc-

tory. Disse konti har det høje-

ste niveau af rettigheder, ad-

gang og kontrol over institu-

tionens it-systemer og data.

Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

II. Status på sagen

5. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på

følgende punkter:

Et opfølgningspunkt afsluttes,

når Statsrevisorerne på bag-

grund af indstilling fra Rigsre-

visionen vurderer, at myndig-

hedernes initiativer er tilfreds-

stillende.

Opfølgningspunkt

De 3 regioners implementering af de tiltag, hvor

Rigsrevisionen påpegede mangler.

2. De 3 regioners arbejde med at nå i mål med hver

deres sidste udestående tiltag.

Status

19 af i alt 20 tiltag for hver region blev

afsluttet i forbindelse med notat til Stats-

revisorerne af 21. januar 2021.

Det sidste tiltag for hver region behand-

les og afsluttes i dette notat.

III. De 3 regioners initiativer

6. Vi gennemgår i det følgende Region Syddanmarks, Region Midtjyllands og Region

Hovedstadens initiativer i forhold til det udestående opfølgningspunkt.

7. Opfølgningen er baseret på virtuelle revisionsbesøg hos de 3 regioner i april-juni

2022 og april 2023. Derudover har vi gennemgået redegørelser og anden skriftlig do-

kumentation af regionernes tiltag, herunder udtræk af it-systemer og skærmdumps.

Region Syddanmarks styring af internetadgang for medarbejdere med

privilegerede adgangsrettigheder

Region Syddanmark har sikret, at medarbejdere med privilegerede rettigheder ikke

kan tilgå internettet, når de er logget på med disse rettigheder. Regionen har desuden

indført yderligere tiltag, der begrænser risiciene ved medarbejderkonti med privilege-

rede rettigheder. Dette finder Rigsrevisionen tilfredsstillende og vurderer derfor, at den-

ne del af sagen kan afsluttes.

8. Statsrevisorerne bemærkede bl.a., at der var utilstrækkelig begrænsning af mulig-

heder for at tilgå internettet, når der blev logget på med privilegerede rettigheder.

9. Rigsrevisionen vurderede i forbindelse med notatet af 21. januar 2021, at Region Syd-

danmark kun delvist havde adresseret denne mangel.

10. Vores opfølgning viser, at Region Syddanmark i 2022 har sikret, at medarbejdere

med privilegerede brugerrettigheder ikke kan tilgå internettet, når de er logget på med

disse rettigheder og er medlemmer af en særlig sikkerhedsgruppe. Hvis medarbejder-

ne melder sig ud af sikkerhedsgruppen, kan de tilgå internettet, men ved udmeldelse

sendes automatiske adviseringsmails om ændringen til alle i sikkerhedsgruppen. Des-

uden logger regionen ændringer i sikkerhedsgruppen, herunder ind- og udmeldelser.

Regionen har i juni 2022 også implementeret, at der 2 gange i løbet af døgnet foreta-

ges en automatisk genindmelding i sikkerhedsgruppen af alle medarbejdere med pri-

vilegerede brugerrettigheder, der har meldt sig ud. Herudover aktiveres en alarm, hvis

processen fejler. Som en ekstra sikkerhedsforanstaltning fører regionen halvårlig kon-

trol med, hvem der er medlem af sikkerhedsgruppen.

Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Region Midtjyllands arbejde med at identificere sikkerhedshændelser

eller misbrug af privilegerede brugerrettigheder

Region Midtjylland har implementeret alarmer, der vedrører anvendelsen af Domain

Admin-konti, og som har til hensigt at opdage uautoriserede ændringer eller uhensigts-

mæssigheder i it-miljøet. Dette finder Rigsrevisionen tilfredsstillende og vurderer der-

for, at denne del af sagen kan afsluttes.

11. Statsrevisorerne bemærkede, at Region Midtjylland ikke havde implementeret no-

gen af de undersøgte logningstiltag, selv om regionen havde udarbejdet en politik for

området.

12. Rigsrevisionen vurderede i forbindelse med notatet af 21. januar 2021, at Region

Midtjylland kun delvist havde implementeret tiltag, som adresserede de påpegede

mangler. Regionen foretog løbende

–

men ikke systematisk

–

gennemgange af logfi-

ler. Regionen anvendte heller ikke alarmer med henblik på at opdage uautoriserede

ændringer eller uhensigtsmæssigheder i it-miljøet.

13. Vores opfølgning viser, at Region Midtjylland ikke gennemgår logfiler regelmæs-

sigt, men at regionen i stedet har implementeret alarmer, der vedrører anvendelsen

af Domain Admin-konti, i regionens SIEM-løsning. Alarmerne aktiveres ved specifik-

ke handlinger og har til hensigt at opdage uautoriserede ændringer eller uhensigts-

mæssigheder i it-miljøet. Regionen anser alarmer som en mere effektiv og systema-

tisk overvågning end gennemgang af logfiler. Hvis alarmerne bliver udløst, underret-

tes regionens 24/7-funktionspostkasse, og alarmerne visiteres og håndteres efter

den pågældende instruks.

14. Region Midtjylland oplyser, at regionen

–

ud over implementeringen af alarmer

–

har reduceret antallet af Domain Admin-konti til et minimum. Rigsrevisionen er enig i,

at et lavt antal Domain Admin-konti reducerer risikoen for uautoriseret anvendelse,

herunder uautoriserede ændringer og uhensigtsmæssigheder i it-miljøet.

15. Rigsrevisionen bemærker, at Region Midtjylland løbende bør foretage en risikoba-

seret vurdering af, om regionen har de fornødne og rigtige alarmer, herunder for Do-

main Admin-konti, for at sikre, at regionen opdager uautoriserede ændringer eller

uhensigtsmæssigheder. Regionen oplyser, at regionen løbende vil vurdere, om der

skal etableres yderligere overvågning af de relevante typer konti. Desuden oplyser re-

gionen, at regionen snarest muligt vil implementere yderligere 2 alarmer for Domain

Admin-konti.

SIEM-løsning

SIEM (Security Information

and Event Management) er en

løsning, der leverer overvåg-

ning, sporing og alarmering af

sikkerhedshændelser eller

hændelser inden for et it-miljø.

Statsrevisorerne beretning SB4/2017 - Bilag 6: Rigsrevisionens fortsatte notat af 14. november 2023 til beretning nr. 4/2017 om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Region Hovedstadens kontrol af medarbejdere med privilegerede ad-

gangsrettigheder

Legacy-domæne

Et legacy-domæne er et æl-

dre domæne, som generelt ik-

ke bliver udviklet eller opdate-

ret. Legacy-domæner kan ud-

gøre en sikkerhedsrisiko, fx

på grund af forældede sikker-

hedsforanstaltninger eller

kendte sårbarheder.

Region Hovedstaden har implementeret en månedlig kontrol af medarbejdere med pri-

vilegerede adgangsrettigheder. Samtidig har regionen månedligt dokumenteret en ledel-

sesgodkendt vurdering af det konkrete arbejdsbetingede behov for privilegerede ad-

gangsrettigheder. Regionen har også afviklet 3 legacy-domæner, som tidligere ikke var

omfattet af regionens kontrol af privilegerede adgangsrettigheder. Dette finder Rigsre-

visionen tilfredsstillende og vurderer derfor, at denne del af sagen kan afsluttes.

16. Statsrevisorerne bemærkede bl.a., at styring og kontrol af medarbejdere med pri-

vilegerede rettigheder var mangelfuld i alle 3 regioner.

17. Rigsrevisionen vurderede i forbindelse med notatet af 21. januar 2021, at Region

Hovedstaden kun delvist havde adresseret manglerne vedrørende kontrol af medar-

bejdere med privilegerede brugerrettigheder.

18. Vores opfølgning viser, at Region Hovedstaden fra april 2022 har udarbejdet må-

nedlige ledelsesgodkendte kontroller af brugerrettigheder. Opfølgningen viser også,

at regionen fra maj 2022 har foretaget en dokumenteret og ledelsesgodkendt vurde-

ring af det konkrete arbejdsbetingede behov for privilegerede adgangsrettigheder,

herunder om det er nødvendigt med permanente eller midlertidige privilegerede ret-

tigheder. Opfølgningen viser desuden, at regionen har afviklet de 3 legacy-domæner,

som tidligere ikke var omfattet af regionens kontrol af privilegerede rettigheder.

19. Hele sagen kan følges på www.rigsrevisionen.dk og på www.ft.dk/Statsrevisorerne.

Birgitte Hansen