Forsvarsudvalget 2017-18
SB 11 7
Offentligt
2323401_0001.png
Februar 2021
Rigsrevisionens notat om
beretning om
beskyttelse mod
ransomwareangreb
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0002.png
Fortsat notat til Statsrevisorerne
1
Opfølgning i sagen om beskyttelse mod ransomware-
angreb (beretning nr. 11/2017)
25. januar 2021
RN 1402/19
1. Rigsrevisionen følger i dette notat op på sagen om beskyttelse mod ransomware-
angreb, som blev indledt med en beretning i 2018. Vi har tidligere behandlet sagen i
notat til Statsrevisorerne af 1. juni 2018.
Sagsforløb for en større
undersøgelse
Beretning
Konklusion
Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen
har siden Rigsrevisionens beretning fra 2018 arbejdet med at sikre beskyttelsen mod
ransomwareangreb. De 4 institutioner opfylder i 2020 flere af de tiltag, hvor Rigsrevi-
sionen i beretningen påpegede mangler, men mangler alle fortsat at opfylde flere til-
tag. Institutionerne har oplyst, at de er i gang med initiativer til at opfylde hovedpar-
ten af disse tiltag.
Siden beretningen er 4 af tiltagene imidlertid blevet til ufravigelige krav til it-sikkerhe-
den, som alle statslige myndigheder skal leve op til som led i den nationale cyber- og
informationssikkerhedsstrategi. De ufravigelige krav skulle være implementeret senest
den 1. januar 2020 og den 1. juli 2020. Rigsrevisionen konstaterer, at Udenrigsministe-
riet har fravalgt at efterleve de ufravigelige krav og i stedet vil implementere mitigeren-
de foranstaltninger. Rigsrevisionen finder det utilfredsstillende, at Udenrigsministeriet
endnu ikke har implementeret de mitigerende foranstaltninger i fuldt omfang. Derud-
over har undersøgelsen vist, at Sundhedsdatastyrelsen og Banedanmark ikke har sikret
sig mod, at hackere kan anvende institutionernes identitet i hackerangreb mod andre,
hvilket er et af de ufravigelige krav til it-sikkerheden. Banedanmark har dog sikret det-
te på alle sine domæner på nær ét domæne, som Banedanmark har oplyst vil blive af-
viklet. Sundhedsdatastyrelsen har oplyst, at tiltaget er ved at blive implementeret, og
at tiltaget primo 2021 nu er implementeret på over 90 % af styrelsens domæner.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:
Sundhedsdatastyrelsens og Banedanmarks arbejde med at sikre, at institutionerne
opfylder de ufravigelige krav til it-sikkerhed
Udenrigsministeriets arbejde med at implementere de mitigerende foranstaltninger,
og at ministeriet kan dokumentere, at de mitigerende foranstaltninger kan kom-
pensere for manglende implementering af de ufravigelige krav til it-sikkerheden
Sundhedsdatastyrelsens, Udenrigsministeriets, Banedanmarks og Beredskabssty-
relsens arbejde med at sikre, at de opfylder de resterende tiltag.
Ministerredegørelse
§ 18, stk. 4-notat
Fortsat notat
Sagen afsluttes
Du kan læse mere om
forløbet og de enkelte step
www.rigsrevisionen.dk
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0003.png
2
I. Baggrund
2. Rigsrevisionen afgav i februar 2018 en beretning om beskyttelse mod ransomware-
angreb. Beretningen handlede om 4 samfundsvigtige, statslige institutioners beskyt-
telse mod ransomwareangreb. Undersøgelsen omfattede Sundhedsdatastyrelsen,
Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen. De 4 institutioner var ud-
valgt, fordi de varetager samfundsvigtige opgaver inden for sundhed, udenrigsforhold,
transport og beredskab, og fordi manglende adgang til data derfor kan være kritisk.
Formålet med undersøgelsen var at vurdere, om de 4 institutioner havde en tilfreds-
stillende beskyttelse mod ransomwareangreb, som kommer ind via e-mails.
3. Da Statsrevisorerne behandlede beretningen, fandt de, at Sundhedsdatastyrelsens,
Udenrigsministeriets, Banedanmarks og Beredskabsstyrelsens beskyttelse mod ran-
somwareangreb ikke var tilfredsstillende. Hermed var der øget risiko for, at ransom-
ware via e-mails kunne forhindre adgang til institutionernes data, så de ikke kunne
varetage deres opgaver i kortere eller længere perioder. Statsrevisorerne gjorde op-
mærksom på, at beskyttelse mod ransomwareangreb er en vigtig opgave for alle of-
fentlige institutioner. Endelig bemærkede Statsrevisorerne, at beretningen angiver en
række tiltag, som alle institutioner kan iværksætte for at reducere risikoen for ransom-
ware.
4. På baggrund af beretningen og Statsrevisorernes bemærkninger har vi fulgt op på
følgende punkter:
Et opfølgningspunkt afsluttes,
når Statsrevisorerne på bag-
grund af indstilling fra Rigsre-
visionen vurderer, at myndig-
hedernes initiativer er tilfreds-
stillende.
Opfølgningspunkt
1. Institutionernes implementering af de tiltag, hvor
Rigsrevisionen påpegede mangler.
Status
Behandles i dette notat.
5. Vi redegør i dette notat for resultaterne af opfølgningen på ovenstående punkt.
Hele sagen og dens dokumenter kan følges på www.rigsrevisionen.dk og på
www.ft.dk/Statsrevisorerne.
II. Sundhedsdatastyrelsens, Udenrigsministeriets, Bane-
danmarks og Beredskabsstyrelsens initiativer
6. Vi gennemgår i det følgende Sundhedsdatastyrelsens (under Sundheds- og Ældre-
ministeriet), Udenrigsministeriets, Banedanmarks (under Transport- og Boligministe-
riet) og Beredskabsstyrelsens (under Forsvarsministeriet) initiativer i forhold til det
udestående opfølgningspunkt. Vi gennemgår således status på institutionernes imple-
mentering af de tiltag, hvor Rigsrevisionen påpegede mangler i beretningen fra 2018,
for temaerne ledelsesmæssigt fokus, ydre tiltag, indre tekniske tiltag, indre adfærds-
mæssige tiltag og reaktive tiltag. Gennemgangen er baseret på stedlige revisionsbe-
søg, dokumentation fra institutionerne og brevveksling med institutionerne.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0004.png
3
7. Siden beretningen er Beredskabsstyrelsen overgået til Forsvarets fælles koncern-
it, der er en del af Forsvarsministeriets Materiel og Indkøbsstyrelse (FMI). Det er såle-
des FMI, der har overtaget ansvaret for Beredskabsstyrelsens it-løsninger. I dette no-
tat henviser vi til Beredskabsstyrelsen af formidlingsmæssige årsager, selv om ansva-
ret for it-løsningerne er overgået til FMI.
Ledelsesmæssigt fokus
8. Statsrevisorerne bemærkede, at ledelsen i Sundhedsdatastyrelsen og i Banedan-
mark ikke havde dækkende risikovurderinger for truslen fra ransomwareangreb.
9. Tabel 1 viser resultaterne af Rigsrevisionens opfølgning på, om institutionernes le-
delsesmæssige fokus på ransomware er tilstrækkeligt, og om det ledelsesmæssige
fokus er forbedret siden 2018. Rigsrevisionen vurderede i beretningen, at det ledel-
sesmæssige fokus som minimum bør omfatte de 4 nævnte tiltag i tabel 1.
Tabel 1
Status på, om institutionernes ledelsesmæssige fokus på ransomware er tilstrækkeligt i 2020
sammenholdt med 2017
Sundhedsdata-
styrelsen
2017
Dækkende risikovurderinger
Opdatering af it-sikkerhedspolitik og retningslinjer
Krav til backup
Opfølgning på ransomwareangreb
2020
-
-
Udenrigs-
ministeriet
2017
2020
-
-
-
Banedanmark
2017
2020
-
-
Beredskabs-
styrelsen
2017
2020
-
-
-
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
institutionen allerede opfyldte tiltaget i 2017. Som det fremgår af tabellen, opfyldte Beredskabsstyrelsen alle 4 tiltag i 2017, og styrelsen har derfor
ikke indgået i denne opfølgning for så vidt angår disse 4 tiltag.
Kilde:
Rigsrevisionens beretning fra 2018 og opfølgning fra 2020.
10. Det fremgik af beretningen, at 3 af institutionerne ikke opfyldte alle tiltagene i 2017,
mens Beredskabsstyrelsen opfyldte alle tiltag. Sundhedsdatastyrelsen og Banedan-
mark manglede begge dækkende risikovurderinger og opfølgning på ransomwarean-
greb. Udenrigsministeriet manglede ledelsesmæssigt fokus på krav til backup.
11. Vores opfølgning viser, at Udenrigsministeriet har udarbejdet en backupstrategi og
derfor nu opfylder tiltaget om krav til backup.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0005.png
4
Sundhedsdatastyrelsen og Banedanmark har begge foretaget opfølgning på ransom-
wareangreb, men de 2 institutioner har dog fortsat ikke dækkende risikovurderinger.
Sundhedsdatastyrelsen er i gang med at opdatere styrelsens risikovurderinger, så de
bliver dækkende og bl.a. tager højde for ransomwareangreb. Sundhedsdatastyrelsen
forventer at være færdig med dette arbejde med udgangen af 1. kvartal 2021. Bane-
danmark er i 2020 gået i gang med at udarbejde en risikovurdering, som bl.a. tager
højde for ransomware. Banedanmark har i maj 2020 godkendt en risikostyringsmeto-
dik, men mangler fortsat bl.a. at kortlægge og udvælge kritiske systemer og processer
og udarbejde risikovurderinger på de enkelte systemer. Banedanmark forventer, at
arbejdet med risikovurderingen vil strække sig ind i 2021.
12. Rigsrevisionen vil fortsat følge Sundhedsdatastyrelsens og Banedanmarks ar-
bejde med at færdiggøre risikovurderingerne.
Ydre tiltag
13. Tabel 2 viser resultaterne af Rigsrevisionens opfølgning på, om institutionernes yd-
re tiltag mod ransomware er tilstrækkelige, og om de tiltagene er forbedret siden 2017.
Rigsrevisionen vurderede i beretningen, at de ydre tiltag som minimum bør omfatte de
4 nævnte tiltag i tabel 2.
Tabel 2
Status på, om institutionernes ydre tiltag mod ransomware er tilstrækkelige i 2020 sammenholdt
med 2017
Sundhedsdata-
styrelsen
2017
Brug af antispam- og antivirusløsninger
Forhindre omgåelse af den centrale antispam-
og antivirusløsning
Brug af 2-faktorlogin ved webmailløsninger
1)
Forhindre brug af private e-mailløsninger
1)
Udenrigs-
ministeriet
2017
2020
-
-
Banedanmark
2017
2020
-
-
Beredskabs-
styrelsen
2017
Ikke
relevant
2020
-
-
-
2020
-
-
Dette tiltag er et ufravigeligt krav, som alle myndigheder skulle leve op til pr. 1. januar 2020 som led i den nationale cyber- og informationssikkerheds-
strategi.
Note: Farverne angiver, om tiltaget er opfyldt (grøn) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da institutionen allerede
opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2018 og opfølgning fra 2020.
14. Det fremgik af beretningen, at alle 4 institutioner anvendte antispam- og antivirus-
løsninger og forhindrede omgåelse af den centrale antispam- og antivirusløsning. Der-
udover fremgik det, at 3 af institutionerne ikke anvendte 2-faktorlogin ved webmail-
løsninger, og at ingen af institutionerne forhindrede brug af private e-mailløsninger.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
5
15. Siden beretningen er brug af 2-faktorlogin ved webmailløsninger blevet et ufravige-
ligt krav til alle myndigheder pr. 1. januar 2020 som led i den nationale cyber- og infor-
mationssikkerhedsstrategi. Manglende 2-faktorlogin ved webmailløsninger kan bety-
de, at en hacker kan få adgang til at sende inficerede e-mails, herunder ransomware,
uden at disse har været igennem virksomhedens ydre sikringstiltag. Vores opfølgning
viser, at Udenrigsministeriet og Banedanmark har etableret 2-faktorlogin ved brug af
webmailløsninger, men at Sundhedsdatastyrelsen endnu ikke opfylder kravet. Sund-
hedsdatastyrelsen har oplyst, at arbejdet med etablering af 2-faktorlogin er påbe-
gyndt, og at styrelsen prioriterer implementeringen af 2-faktorlogin. Tidsplanen for im-
plementeringen påvirkes af overgangen til Statens It og styrelsens opgaver med at it-
understøtte den hidtidige, aktuelle og fremadrettede COVID-19- og vaccineindsats.
Sundhedsdatastyrelsens ledelse vil følge implementeringen tæt og sikre fremdrift
Derudover viser vores opfølgning, at Beredskabsstyrelsen som den eneste har forhin-
dret brug af private e-mailløsninger, mens man er logget på systemet. De 3 øvrige in-
stitutioner har oplyst, at de aktivt har valgt at tillade medarbejderne at bruge private
e-mailløsninger. Banedanmark har oplyst, at beslutningen om at tillade brug af private
e-mailløsninger er risikovurderet og ledelsesgodkendt, men har ikke fremlagt doku-
mentation herfor. Sundhedsdatastyrelsen og Udenrigsministeriet har ikke dokumen-
teret en ledelsesgodkendt beslutning og risikovurdering af at tillade medarbejdernes
brug af private e-mailløsninger. Rigsrevisionen vurderer, at brug af private e-mailløs-
ninger på institutionernes netværk udgør en sikkerhedsrisiko for ransomwareangreb.
Rigsrevisionen finder på den baggrund, at beslutningen om at tillade brug af private
e-mailløsninger som minimum bør bygge på en dokumenteret risikovurdering, der er
ledelsesgodkendt. Udenrigsministeriet har oplyst, at beslutningen om at tillade adgang
til private e-mailløsninger vil blive risikovurderet og ledelsesgodkendt primo 2021.
16. Rigsrevisionen finder det utilfredsstillende, at Sundhedsdatastyrelsen ikke lever
op til det ufravigelige krav om at etablere 2-faktorlogin ved webmailløsninger, på trods
af at dette er et ufravigeligt krav og skulle være implementeret pr. 1. januar 2020. Rigs-
revisionen vil fortsat følge Sundhedsdatastyrelsens arbejde med at etablere 2-faktor-
login ved webmailløsninger. Derudover vil Rigsrevisionen følge op på, om Sundheds-
datastyrelsen, Udenrigsministeriet og Banedanmark forhindrer, at medarbejderne
kan anvende private e-mailløsninger, eller som minimum risikovurderer og ledelses-
godkender beslutningen om at tillade brug private e-mailløsninger.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0007.png
6
Fremadrettede ydre tiltag
17. I beretningen indgik 3 fremadrettede ydre tiltag. På tidspunktet for beretningen var
der tale om nye tiltag, som Rigsrevisionen fandt det relevant for institutionerne at over-
veje i forhold til beskyttelse mod ransomwareangreb. Siden beretningen er de fremad-
rettede ydre tiltag blevet ufravigelige krav til alle myndigheder pr. 1. juli 2020 som led
i den nationale cyber- og informationssikkerhedsstrategi. Tabel 3 viser resultaterne af
vores opfølgning på, om de 4 institutioner har implementeret de 3 nævnte tiltag sam-
menholdt med 2017.
Tabel 3
Status på, om institutionerne har implementeret ufravigelige krav til ydre tiltag i 2020 sammen-
holdt med 2017
Sundhedsdata-
styrelsen
2017
Sikring mod, at hackere kan anvende institutio-
nernes domænenavne som afsenderdomæne-
navne, når de sender indgående e-mails
Kontrol af eventuelle indgående e-mails i forhold
til afsenderidentiteten og eventuel frasortering,
fx ved hjælp af SPF-, DMARC- og DKIM-teknolo-
gierne
Sikring mod misbrug af identitet ved angreb
mod andre, fx ved hjælp af SPF-, DMARC- og
DKIM-teknologierne
2020
-
Udenrigs-
ministeriet
2017
2020
Banedanmark
2017
2020
-
Beredskabs-
styrelsen
2017
2020
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
institutionen allerede opfyldte tiltaget i 2017. Farveændringerne fra gule vurderinger i 2017 til røde i 2020 skyldes, at der siden 2017 er blevet tale
om ufravigelige krav, hvorfor det ikke er tilstrækkeligt med en delvis opfyldelse.
Kilde:
Rigsrevisionens beretning fra 2018 og opfølgning fra 2020.
SPF-, DMARC- og DKIM-
teknologier
SPF-, DMARC- og DKIM-tek-
nologierne er teknologier, som
sikrer institutioner mod mis-
brug af domænet til svindel
med e-mailadresser og der-
med begrænser muligheden
for, at institutionernes identi-
tet bliver misbrugt som afsen-
deradresse.
18. Det fremgik af beretningen, at Udenrigsministeriet og Beredskabsstyrelsen ikke
opfyldte nogen af de 3 tiltag i fuldt omfang. Derudover fremgik det, at Sundhedsdata-
styrelsen og Banedanmark havde sikret, at hackere ikke kunne anvende institutioner-
nes domænenavne som afsenderdomænenavne, når de sendte indgående e-mails,
dvs. at hackere ikke kunne anvende institutionernes e-mailadresser som afsender på
e-mails til medarbejderne. Endelig fremgik det, at Sundhedsdatastyrelsen havde sik-
ret, at indgående mails blev kontrolleret i forhold til afsenderidentiteten og eventuelt
frasorteret på den baggrund, mens Banedanmark ikke havde sikret dette.
19. Vores opfølgning viser, at Banedanmark i 2020 nu opfylder kravet om, at indgåen-
de e-mails skal kontrolleres i forhold til afsenderidentiteten og eventuelt frasorteres.
Sundhedsdatastyrelsen og Banedanmark har dog i 2020 fortsat ikke sikret sig mod, at
hackere kan anvende institutionernes identitet i hackerangreb mod andre. Banedan-
mark har implementeret tiltaget på alle sine domæner på nær ét domæne, som Bane-
danmark har oplyst vil blive afviklet. Sundhedsdatastyrelsen har oplyst, at styrelsen er
i gang med at opfylde tiltaget, og at status primo 2021 er, at styrelsen nu lever op til til-
taget på over 90 % af sine domæner.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
7
Derudover viser vores opfølgning, at Udenrigsministeriet fortsat i 2020 ikke opfylder
nogen af de 3 ufravigelige krav. Udenrigsministeriet har oplyst, at ministeriet har fra-
valgt de 3 tiltag af faglige hensyn og i stedet vil iværksætte mitigerende foranstaltnin-
ger, som ifølge ministeriet vil imødekomme en del af risikoen ved ikke at implemente-
re de 3 tiltag. Nogle af foranstaltningerne er implementeret, mens Udenrigsministeri-
et har oplyst, at de resterende mitigerende foranstaltninger vil blive implementeret i
2021. Udenrigsministeriet har ultimo 2020 risikovurderet ministeriets ydre tiltag i for-
hold til misbrug af ministeriets domænenavne til angreb mod andre eller til angreb
mod ministeriet gennem e-mails. I risikovurderingen tages der stilling til fravalget af
implementering af de 3 tiltag, og hvilke mitigerende foranstaltninger der i stedet skal
implementeres. Risikovurderingen er ultimo 2020 godkendt af Udenrigsministeriets
sikkerhedsudvalg.
Endelig viser vores opfølgning, at Beredskabsstyrelsen i 2020 opfylder alle 3 ufravi-
gelige krav til ydre tiltag.
20. Rigsrevisionen konstaterer, at Udenrigsministeriet fortsat ikke lever op til alle 3
ufravigelige krav til ydre tiltag, på trods af at tiltagene skulle have været implemente-
ret pr. 1. juli 2020. Rigsrevisionen konstaterer videre, at Udenrigsministeriet i stedet
vil implementere mitigerende foranstaltninger, som ifølge ministeriet vil imødekom-
me en del af risikoen ved ikke at implementere de 3 tiltag. Rigsrevisionen finder det
utilfredsstillende, at Udenrigsministeriet endnu ikke har implementeret disse foran-
staltninger i fuldt omfang. Da Udenrigsministeriet ikke har implementeret de mitige-
rende foranstaltninger i fuldt omfang, er det ikke muligt for Rigsrevisionen at vurdere
disse foranstaltninger. Rigsrevisionen vil derfor, når foranstaltningerne er iværksat,
følge op på, om Udenrigsministeriet kan dokumentere, at de mitigerende foranstalt-
ninger kan kompensere for manglende implementering af de ufravigelige krav. Umid-
delbart finder Rigsrevisionen dog – når de ufravigelige krav ikke følges – at der er en
øget risiko for, at Udenrigsministeriets it-sikkerhed ikke er tilstrækkelig, herunder ri-
siko for, at myndigheder og personer ikke i alle tilfælde kan stole på mailkommunika-
tion via Udenrigsministeriets domæner. Rigsrevisionen konstaterer derudover, at
Sundhedsdatastyrelsen og Banedanmark begge mangler at opfylde ét af de ufravi-
gelige krav til ydre tiltag. Rigsrevisionen vil fortsat følge Sundhedsdatastyrelsens og
Banedanmarks opfyldelse af tiltaget samt Udenrigsministeriets implementering af
de mitigerende foranstaltninger.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0009.png
8
Indre tekniske tiltag
21. Statsrevisorerne bemærkede, at forebyggelsen mod ransomwareangreb ikke var
tilstrækkelig, og at ingen af institutionerne fuldt ud havde sikret, at alle deres program-
mer havde de nyeste sikkerhedsopdateringer.
22. Tabel 4 viser resultaterne af Rigsrevisionens opfølgning på, om institutionerne i
tilstrækkelig grad opfylder de indre tekniske tiltag mod ransomware, og om tiltagene
er forbedret siden 2017. Rigsrevisionen vurderede i beretningen, at de indre tekniske
tiltag som minimum bør omfatte de 7 nævnte tiltag i tabel 4.
Tabel 4
Status på, om institutionernes indre tekniske tiltag mod ransomware er tilstrækkelige i 2020
sammenholdt med 2017
Sundhedsdata-
styrelsen
2017
Lokaladministrator har et arbejdsbetinget behov
Opdatering af styresystemer
Opdatering af programmer, som er tredjeparts-
produkter
Kun godkendte programmer kan afvikles
(whitelistingløsning)
Ingen brug af privilegerede rettigheder, når der
læses e-mails
Sikring mod ubeskyttet adgang til internettet
og mod, at medarbejdere ikke kan downloade
potentielt skadelige filer, mens de læser e-mails.
Rettighedstildeling på filniveau i overensstem-
melse med egne retningslinjer
2020
-
Udenrigs-
ministeriet
2017
2020
-
-
-
-
Banedanmark
2017
2020
-
Beredskabs-
styrelsen
2017
2020
-
-
-
-
-
-
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
institutionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2018 og opfølgning fra 2020.
23. Det fremgik af beretningen, at alle institutionerne havde sikret, at styresystemerne
blev opdateret, og at rettighedstildeling på filniveau var i overensstemmelse med egne
retningslinjer. Derudover fremgik det, at institutionerne manglede at opfylde 1-5 indre
tekniske tiltag.
24. Vores opfølgning viser, at ingen af institutionerne opfylder alle indre tekniske tiltag,
og at institutionerne fortsat mangler at opfylde 1-4 tiltag.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
9
Sundhedsdatastyrelsen og Banedanmark mangler begge at sikre, at ingen medarbej-
dere ud over it-supportere og lignende med et arbejdsbetinget behov tildeles lokalad-
ministratorrettigheder. Vores opfølgning viser, at antallet af medarbejdere med lokal-
administratorrettigheder hos Sundhedsdatastyrelsen er steget siden 2017. Sundheds-
datastyrelsen har oplyst, at det skyldes COVID-19-situationen, hvor der er opstået et
midlertidigt behov for flere medarbejdere med lokaladministratorrettigheder, og at be-
hovet for antal lokaladministratorer vil blive revurderet, i forbindelse med at styrelsen
overgår til Statens It i 2021. Sundhedsdatastyrelsen har derudover oplyst, at styrelsen
i 2020 har skærpet dispensationsansøgninger om lokaladministratorrettigheder, så de
er af maksimalt 6 måneders varighed, og at styrelsens ledelse løbende forelægges da-
ta om antal dispensationsansøgninger med henblik på at risikovurdere og ledelsesgod-
kende en eventuel forlængelse af dispensationer. Rigsrevisionen har forståelse for, at
der under COVID-19-pandemien har været behov for tildeling af flere lokaladministra-
torrettigheder. Rigsrevisionen finder dog, at varigheden af lokaladministratorrettighe-
der i forbindelse med sådanne nødprocedurer bør være så kort som muligt, og at
Sundhedsdatastyrelsen bør undersøge, om lokaladministratorrettigheder kan gives
for en endnu kortere periode fremadrettet. Rigsrevisionen vurderer, at der ellers kan
være risiko for, at Sundhedsdatastyrelsens øvrige it-sikkerhedstiltag obstrueres af den
betydelige sikkerhedsrisiko, som følger af et højt antal lokaladministratorrettigheder.
Banedanmark har siden 2018 nedbragt antallet af lokaladministratorer med knap
30 %. Derudover har Banedanmark oplyst, at lokaladministratorrettigheder højst tilde-
les for 1 år ad gangen, og at rettighederne fjernes, når medarbejderen ikke har brug for
dem længere. Vores opfølgning viser, at Banedanmark gennemgår listen med lokalad-
ministratorer uden fast procedure. Banedanmark har oplyst, at der primo 2021 vil bli-
ve etableret procedurer for løbende opfølgning og kontrol.
Udenrigsministeriet og Banedanmark mangler i tilstrækkelig grad at sikre opdaterin-
gerne af programmer, som er tredjepartsprodukter. Udenrigsministeriet har en løsning,
der sikrer systematisk opdatering af en del af ministeriets tredjepartsprodukter, men
de resterende produkter opdateres ikke systematisk. Banedanmark har ikke sikret en
systematisk opdatering af tredjepartsprodukter, men har oplyst, at sådanne opdate-
ringer foretages manuelt efter behov. Banedanmark har oplyst, at en systematisk op-
datering af tredjepartsprodukter vil kunne finde sted i 2021 eller 2022, når en række
ældre systemer er blevet udskiftet. Rigsrevisionen konstaterer, at den valgte tilgang,
som udgør en sikkerhedsmæssig risiko, ikke er risikovurderet og godkendt af ledelsen
i Banedanmark.
Derudover har Banedanmark sikret, at kun godkendte programmer kan afvikles, fx
ved hjælp af en whitelistingløsning, mens Sundhedsdatastyrelsen og Beredskabssty-
relsen fortsat kun delvist har sikret dette. Sundhedsdatastyrelsen anvender ikke en
whitelistingløsning, men har sikret, at kun medarbejdere med lokaladministratorrettig-
heder selv kan installere software. Rigsrevisionen bemærker dog, at antallet af lokal-
administratorer i Sundhedsdatastyrelsen er steget, hvilket udgør en risiko for, at disse
medarbejdere kan komme til at installere skadelig software. Beredskabsstyrelsen har
på hovedparten af styrelsens pc’er sikret, at kun godkendte programmer kan afvikles.
Beredskabsstyrelsen har oplyst, at styrelsen er i gang med at udfase de resterende
pc’er fremfor at installere whitelistingteknologier på disse.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
10
Endvidere har Banedanmark og Beredskabsstyrelsen sikret, at der ikke kan anvendes
privilegerede rettigheder, mens der læses e-mails, mens Sundhedsdatastyrelsen fort-
sat kun delvist opfylder dette tiltag. Sundhedsdatastyrelsen har retningslinjer, der præ-
ciserer, at medarbejdere med privilegerede rettigheder ikke må læse e-mails, mens
disse rettigheder anvendes. Sundhedsdatastyrelsen har dog enkelte konti med privi-
legerede rettigheder, der har tilknyttede e-mailadresser og dermed mulighed for at til-
gå e-mails. Sundhedsdatastyrelsen har oplyst, at styrelsen primo 2021 har gennemgå-
et og vurderet de konti med privilegerede rettigheder, som har adgang til e-mails, og i
den forbindelse har lukket flere kontis e-mailadgang. Gennemgangen har dog vist, at
antallet af konti med privilegerede rettigheder, der har adgang til e-mails, samlet set er
steget siden revisionens start. Sundhedsdatastyrelsen har oplyst, at disse konti tilhø-
rer brugere, som har et arbejdsbetinget behov, og at det overvåges, at brugerne ikke
anvender e-mails, når de bruger disse konti. Derudover har Sundhedsdatastyrelsen
oplyst, at antallet af disse konti vil blive revurderet løbende og senest i forbindelse
med overgangen til Statens It i 2021. Rigsrevisionen finder det utilfredsstillende, at an-
tallet af konti med privilegerede rettigheder, der har adgang til e-mails, er steget i un-
dersøgelsesperioden, og vurderer, at det udgør en risiko for Sundhedsdatastyrelsens
it-sikkerhed.
Endelig har Banedanmark implementeret en teknisk løsning, som blokerer for visse
filtyper. Banedanmark har oplyst, at den tekniske løsning også begrænser andre filty-
per, hvilket er beskrevet i produktejers systemdokumentation. Sundhedsdatastyrel-
sen og Beredskabsstyrelsen har fortsat kun delvist sikret sig mod ubeskyttet adgang
til internettet. Sundhedsdatastyrelsen anvender hovedsageligt løsninger, hvor der blo-
keres for kendt skadeligt indhold. På baggrund heraf er det Rigsrevisionens vurdering,
at Sundhedsdatastyrelsen ikke er beskyttet i tilstrækkelig grad mod ukendt skadeligt
indhold. Beredskabsstyrelsen har på hovedparten af styrelsens pc’er sikret, at der ik-
ke er ubeskyttet adgang til internettet, og at medarbejderne ikke kan downloade po-
tentielt skadelige filer. Beredskabsstyrelsen har oplyst, at styrelsen er i gang med at
udfase de resterende pc’er.
25. Rigsrevisionen vil fortsat følge Sundhedsdatastyrelsens, Udenrigsministeriets, Ba-
nedanmarks og Beredskabsstyrelsens arbejde med at opfylde de resterende indre
tekniske tiltag.
Fremadrettede tekniske tiltag
26. I beretningen indgik 2 fremadrettede indre tiltag. På tidspunktet for beretningen
var der tale om nye tiltag, som Rigsrevisionen fandt det relevant for institutionerne at
overveje i forhold til beskyttelse mod ransomwareangreb. Rigsrevisionen vurderer, at
tiltagene siden 2017 er blevet yderligere relevante, og derfor har vi fulgt op på, om in-
stitutionerne opfylder de 2 nævnte tiltag i 2020. Tabel 5 viser resultaterne af Rigsrevi-
sionens opfølgning på, om institutionerne har implementeret de 2 fremadrettede indre
tiltag mod ransomwareangreb i 2020 sammenholdt med 2017.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0012.png
11
Tabel 5
Status på, om institutionerne opfylder de fremadrettede indre tiltag mod ransomware i 2020
sammenholdt med 2017
Sundhedsdata-
styrelsen
2017
Programmer med atypiske adfærdsmønstre
opdages
Programmer med atypiske adfærdsmønstre
stoppes eller begrænses
2020
Udenrigs-
ministeriet
2017
2020
Banedanmark
2017
2020
-
Beredskabs-
styrelsen
2017
2020
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
institutionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2018 og opfølgning fra 2020.
27. Det fremgik af beretningen, at Banedanmark og Beredskabsstyrelsen i 2017 havde
sikret, at programmer med atypiske adfærdsmønstre blev opdaget, mens Sundheds-
datastyrelsen og Udenrigsministeriet ikke opfyldte tiltaget. Derudover fremgik det, at
Sundhedsdatastyrelsen, Udenrigsministeriet og Beredskabsstyrelsen ikke sikrede, at
programmer med atypiske adfærdsmønstre blev stoppet eller begrænset, mens Ba-
nedanmark delvist opfyldte tiltaget.
28. Vores opfølgning viser, at Udenrigsministeriet nu har sikret, at programmer med
atypiske adfærdsmønstre opdages. Sundhedsdatastyrelsen har delvist etableret sik-
ringstiltag, der kan opdage og alarmere om atypiske adfærdsmønstre. Konkret har
Sundhedsdatastyrelsen implementeret et redskab, der sikrer, at nogle applikationer,
brugere og enheder med atypiske adfærdsmønstre stoppes eller begrænses. Sund-
hedsdatastyrelsen har oplyst, at det fortsat udestår at kommunikere ud til alle medar-
bejdere i Sundheds- og Ældreministeriet, at Sundhedsdatastyrelsen kan kontaktes
ved risikofyldt aktivitet. Derudover har Sundhedsdatastyrelsen oplyst, at styrelsen og
Sundheds- og Ældreministeriets departement i foråret 2021 vil beslutte, hvilken løs-
ning der skal være gældende permanent fra 2022.
Derudover viser vores opfølgning, at Banedanmark har sikret, at programmer med
atypiske adfærdsmønstre stoppes eller begrænses, mens de 3 øvrige institutioner
delvist har sikret dette. Sundhedsdatastyrelsen har via tekniske tiltag delvist sikret, at
atypiske adfærdsmønstre stoppes eller begrænses. Udenrigsministeriet har ikke im-
plementeret et værktøj til at stoppe atypiske adfærdsmønstre i realtid, men har imple-
menteret kompenserende kontroller, der reducerer sikkerhedsrisikoen. Beredskabs-
styrelsen har implementeret tekniske løsninger, der understøtter overvågning og ana-
lysering af atypiske brugsmønstre. Disse tekniske løsninger er implementeret på ho-
vedparten af styrelsens pc’er. Beredskabsstyrelsen har oplyst, at de resterende pc’er
er under udfasning. Rigsrevisionen vurderer, at de 3 institutioner fortsat bør arbejde
med at sikre, at programmer med atypiske adfærdsmønstre stoppes eller begrænses.
29. Rigsrevisionen vil fortsat følge Sundhedsdatastyrelsens, Udenrigsministeriets og
Beredskabsstyrelsens arbejde med at opfylde de fremadrettede indre tekniske tiltag.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0013.png
12
Indre adfærdsmæssige tiltag
30. Tabel 6 viser resultaterne af Rigsrevisionens opfølgning på, om institutionernes
indre adfærdsmæssige tiltag mod ransomware er opfyldt, og om tiltagene er forbed-
ret siden 2017. Rigsrevisionen vurderede i beretningen, at de indre adfærdsmæssige
tiltag som minimum bør omfatte de 2 nævnte tiltag i tabel 6.
Tabel 6
Status på, om institutionernes indre adfærdsmæssige tiltag mod ransomware er tilstrækkelige
i 2020 sammenholdt med 2017
Sundhedsdata-
styrelsen
2017
Gennemførelse af awarenessaktiviteter
Opfølgning på awarenessaktiviteter
2020
-
Udenrigs-
ministeriet
2017
2020
-
Banedanmark
2017
2020
-
Beredskabs-
styrelsen
2017
2020
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
institutionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2018 og opfølgning fra 2020.
31. Det fremgik af beretningen, at alle 4 institutioner havde gennemført awarenessak-
tiviteter. Derudover fremgik det, at 3 af institutionerne ikke havde fulgt op på de gen-
nemførte awarenessaktiviteter, mens Sundhedsdatastyrelsen delvist opfyldte tiltaget.
32. Vores opfølgning viser, at Sundhedsdatastyrelsen siden 2017 har etableret opfølg-
ning på awarenessaktiviteter, mens de 3 resterende institutioner fortsat ikke i tilstræk-
keligt omfang har fulgt op på gennemførte awarenessaktiviteter. Udenrigsministeriet
har ultimo 2019 gennemført en baselinemåling af medarbejdernes awareness og har
oplyst, at der primo 2021 på baggrund heraf vil blive gennemført en effektmåling af
awarenessaktiviteter. Beredskabsstyrelsen har ligeledes gennemført en baselinemå-
ling i 2020 og vil i 2021 gennemføre en opfølgende måling for at følge op på effekten af
gennemførte awarenesstiltag. Banedanmark har endnu ikke foretaget effektmålinger,
men har oplyst, at Banedanmark i 2021 planlægger en it-understøttet proces, som ved
hjælp af data kan påvise effektmål af de enkelte awarenesstiltag.
33. Rigsrevisionen finder det tilfredsstillende, at Udenrigsministeriet og Beredskabs-
styrelsen har påbegyndt et arbejde med at følge op på gennemførte awarenessaktivi-
teter og konstaterer, at Banedanmark planlægger at gøre det. Rigsrevisionen vil fort-
sat følge de 3 institutioners arbejde med at følge op på awarenessaktiviteterne.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
2323401_0014.png
13
Reaktive tiltag
34. Statsrevisorerne bemærkede, at Udenrigsministeriet, Banedanmark og Bered-
skabsstyrelsen ikke havde reaktive tiltag, der kan sikre, at institutionerne kan gen-
etablere normal drift, efter de er blevet ramt af ransomwareangreb.
35. Tabel 7 viser resultaterne af Rigsrevisionens opfølgning på, om institutionernes
reaktive tiltag mod ransomware er tilstrækkelige, og om tiltagene er forbedret siden
2017. Rigsrevisionen vurderede i beretningen, at de reaktive tiltag som minimum bør
omfatte de 3 nævnte tiltag i tabel 7.
Tabel 7
Status på, om institutionernes reaktive tiltag mod ransomware er tilstrækkelige i 2020 sammen-
holdt med 2017
Sundhedsdata-
styrelsen
2017
Foranstaltninger, der kan genetablere data, er
implementeret
Genetableringsforanstaltningerne er sikret, så
de ikke bliver inkluderet i en krypteringsproces
Systematiske tests af evnen til at genetablere
systemer og data
2020
-
-
-
Udenrigs-
ministeriet
2017
2020
-
Banedanmark
2017
2020
-
-
Beredskabs-
styrelsen
2017
2020
-
-
Note: Farverne angiver, om tiltaget er opfyldt (grøn), delvist opfyldt (gul) eller ikke opfyldt (rød). ”-” angiver, at der ikke er foretaget revision i 2020, da
institutionen allerede opfyldte tiltaget i 2017.
Kilde:
Rigsrevisionens beretning fra 2018 og opfølgning fra 2020.
36. Det fremgik af beretningen, at alle 4 institutioner i 2017 havde implementeret for-
anstaltninger, der kunne genetablere data efter ransomwareangreb. Derudover hav-
de 3 af institutionerne sikret, at genetableringsforanstaltningerne ikke blev inklude-
ret i en krypteringsproces, mens Udenrigsministeriet ikke havde sikret dette. Endelig
havde Udenrigsministeriet og Banedanmark ikke gennemført systematiske tests af
evnen til at genetablere systemer og data, mens Beredskabsstyrelsen delvist opfyld-
te tiltaget.
37. Vores opfølgning viser, at alle 4 institutioner har sikret genetableringsforanstalt-
ninger, så de ikke inkluderes i en krypteringsproces i tilfælde af ransomwareangreb.
Derudover viser opfølgningen, at det fortsat kun er Sundhedsdatastyrelsen, der har
tilstrækkeligt systematiske tests af systemer og data, mens de 3 øvrige institutioner
delvist opfylder tiltaget.
 Statsrevisorerne beretning SB11/2017 - Bilag 7: Rigsrevisionens fortsatte notat af 25. januar 2021
14
Både Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen har sikret, at der
er blevet gennemført tests af evnen til at genetablere systemer og data. Disse tests
gennemføres dog ikke systematisk efter en testplan. Udenrigsministeriet har ultimo
2020 udarbejdet en testplan, men har endnu ikke gennemført tests efter planen. Be-
redskabsstyrelsen har oplyst, at der vil blive udarbejdet en testplan, som forventes
at være færdig primo 2021, mens Banedanmark har oplyst, at Banedanmark vil stille
krav om en testplan med proaktive tests af evnen til at genetablere systemer og data
i forbindelse med en ny it-driftsaftale medio 2022.
38. Rigsrevisionen vil fortsat følge Udenrigsministeriets, Banedanmarks og Bered-
skabsstyrelsens arbejde med det sidste reaktive tiltag.
Lone Strøm