Beretningen handler om, hvad 6 statslige institutioner gør for at beskytte adgangen til it-systemer og data, som understøtter samfundsvigtige opgaver, via de såkaldte udvidede administratorrettigheder.
It-systemer, der understøtter samfundsvigtige opgaver kan – ligesom andre it-systemer – tilgås med udvidede administratorrettigheder. Disse rettigheder giver det højeste niveau af rettigheder, adgang og kontrol over institutionernes it-systemer og data, som styres i brugeradministrationssystemet Active Directory (AD). Desuden kan rettighederne give mulighed for at omgå institutionernes sikkerhedsforanstaltninger. I nogle tilfælde kan de udvidede administratorrettigheder – afhængigt af institutionens systemopbygning – også give adgang til andre væsentlige it-systemer og data, der ikke styres i AD.
Formålet med undersøgelsen er at vurdere, om institutionerne følger anbefalinger om god it-sikkerhedspraksis for at beskytte adgangen til it-systemer og data, som understøtter samfundsvigtige opgaver. Vi har derfor undersøgt, hvordan institutionerne styrer og kontrollerer de udvidede administratorrettigheder, herunder hvordan institutionerne sikrer logning af anvendelsen af udvidede administratorrettigheder.
Rigsrevisionen har selv taget initiativ til undersøgelsen, der er baseret på it-revisioner, som Rigsrevisionen har udført i første halvdel af 2015.
Statsrevisorerne afgav beretningen og deres bemærkning til Folketinget 7. oktober 2015.
Emneord:
it og teleforsyning