Finansudvalget 2015-16
SB 1 5
Offentligt
1591387_0001.png
MINISTEREN
Statsrevisorenes sekretariat
Folketinget
Christiansborg
1240 København K
Dato
J. nr.
15. januar 2016
2015 - 4766
Frederiksholms Kanal 27 F
1220 København K
Telefon
41 71 27 00
Ministerredegørelse om beretning nr. 1/2015 til Statsrevisorerne
om adgangen til IT-systemer der understøtter samfundsvigtige op-
gaver.
Statsrevisorerne har fremsendt ovennævnte beretning og har bedt om en rede-
gørelse for de foranstaltninger og overvejelser, som beretningen har givet an-
ledning til.
Revisionen omhandlede seks institutioner, hvoraf Banedanmark indgår i un-
dersøgelsen på Transport- og Bygningsministeriets område. Revisionens resul-
tater er præsenteret i anonymiseret form. De overordnede temaer er styring,
logning og kontrol af udvidede administratorrettigheder for henholdsvis betro-
ede it-medarbejdere og for system og –servicekonti.
Rigsrevisionen finder samlet set, at alle institutionerne udsætter sig selv for
alvorlige it-sikkerhedsmæssige risici, og ikke i tilstrækkelig grad følger alment
kendte anbefalinger for god praksis for at sikre og beskytte adgangen til IT sy-
stemer og data, som understøtter samfundsvigtige opgaver.
I forhold til Banedanmark er det indledningsvist vigtigt at være opmærksom
på, at der indenfor jernbaneområdet er væsentlig forskel på de administrative
og tekniske systemer. De systemer, som den foreliggende revision dækker over,
har ikke indflydelse på de sikkerhedsmæssige aspekter i forhold til afviklingen
af den daglige togtrafik.
Jernbanedriften består af tekniske og lukkede anlæg, og ingen af de sikker-
hedsbærende jernbanesystemer er knyttet til brugeradministrationssystemet
Active Directory (AD) der styrer adgangen til IT systemer. En hacker kan i vær-
ste tilfælde kun forstyrre jernbanedriften i minimal grad, f. eks. i form af for-
styrrelse af højtalerudkald, trafikinformation eller lignende.
Rigsrevisionen anbefaler en række tiltag i forhold til begrænsning af antallet af
personer eller konti med udvidede administratorrettigheder, håndtering og
kompleksitet af passwords, samt muligheden for at kunne tilgå netværket fra
lokale arbejdsstationer i virksomheden.
Banedanmark tager revisionens anbefalinger til efterretning og har begrænset
såvel antallet af betroede it-medarbejder med udvidede administratorrettighe-
der, som antallet af system- og servicekonti med udvidede administratorret-
tigheder. Endvidere vil Banedanmark tilpasse personlige passwords og system-
passwords som anbefalet. Herudover vil Banedanmark sikre, at system- og
servicekonti med udvidede brugerrettigheder ikke kan tilgå netværket fra loka-
 Statsrevisorerne beretning SB1/2015 - Bilag 5: Transportministerens redegørelse af 15. januar 2016
1591387_0002.png
le arbejdsstationer samt, at passwords udskiftes når betroede medarbejdere
fratræder deres stilling.
Rigsrevisionen har endvidere en række anbefalinger i forhold til logning af ud-
videde administratorrettigheder og overvågning af anomalier. Banedanmark
har forud for revisionen igangsat tiltag der skal medvirke til at forbedre opfølg-
ningen på logning af AD aktiviteter bl. a. gennem etablering af logmanage-
mentsystemer. Endvidere er Banedanmark tilknyttet Center for Cybersikker-
heds overvågning af al ind- og udgående datatrafik, hvor der scannes for unor-
male aktiviteter. På baggrund af revisionens anbefalinger, vil Banedanmark
igangsætte tiltag, der skal medvirke til yderligere at forbedre de eksisterende
rutiner for at opfange anomalier.
Kopi af denne redegørelse er sendt til Rigsrevisionen,
[email protected]
Side 2/2
Med
venlig
hilsen
Hans Christian Schmidt