DK Medier
Kommunen.dk
DK Havenergi
DK Vindkraft
DK Social
DK Indkøb
DK Sundhed
DK Teknik
DK Økonomi
DK Stillinger

Regioner går fra ris til ros for datasikkerhed og it-adgang

Tre år efter at Rigsrevisionen kritiserede Syddanmark, Hovedstaden og Midtjylland for utilstrækkelig beskyttelse, er der nu tilfredshed med de tre regioners indsats for at rette op.
27. JAN 2021 6.07
Administration
IT
Sundhed
michael@dknyt.dk

Michael Kjærgård

Af Michael Kjærgård, [email protected]

SYDDANMARK / MIDTJYLLAND / HOVEDSTADEN: Rigsrevisionen uddeler roser til til tre regioner, som ellers for godt tre år siden fik alvorlige skældud for utilstrækkelig beskyttelse af adgangen til it-systemer og sundhedsdata. Ved opfølgningen konstaterer Rigsrevisionen kun et enkelt udestående i hver region ud af de 20 målepunkter, der blev anvendt i 2017.

Dengang haltede det med 13 af de 20 for både Region Syddanmark og Region Hovedstaden, mens Region Midtjylland "kun" var nede på 10 af de 20 punkter. Men det har oppet sig siden dengang, og Rigsrevisionen kalder nu indsatsen for at rette op på forholdene "tilfredsstillende".

Ydermere er alle tre regioner i gang med at opfylde deres henholdsvise udeståender tiltag og forventer at blive færdig med det i løbet af i år. Indtil da er der implementeret kompenserende foranstaltninger, der reducerer risikoen ved udeståenderne.

De 20 punkter der indgik i Rigsrevisionens første gennemgang er:

  • Politik, retningslinjer og procedurer for grundlæggende sikringstiltag mod hackerangreb
  • Politik, retningslinjer og procedurer for tildeling af privilegerede rettigheder til medarbejdere
  • Politik, retningslinjer og procedurer for system- og servicekonti med privilegerede rettigheder
  • Politik, retningslinjer og procedurer for logning af konti med privilegerede rettigheder
  • Begrænset download af programmer
  • Kun godkendte programmer kan afvikles
  • Der kan hentes sikkerhedsopdateringer fra producenterne af relevante produkter
  • Løbende sikkerhedsopdateringer af relevante produkter
  • Ingen medarbejdere har lokaladministratorrettigheder
  • Tiltag, fx segmentering af netværket, så en
    inficering i form af hackere eller malware ikke kan sprede sig ubegrænset
  • Et begrænset antal medarbejdere, der permanent
    har privilegerede rettigheder
  • Alle medarbejdere med privilegerede rettigheder anvender en personlig administratorkonto
  • Regelmæssig kontrol af medarbejdere med privilegerede adgangsrettigheder
    (Region Hovedstaden)
  • Personlige passwords til konti med privilegerede rettigheder følger god praksis og er systemunderstøttede
  • Medarbejdere med privilegerede rettigheder kan ikke tilgå internettet, når de er logget på med disse rettigheder
    (Region Syddanmark)
  • Et begrænset antal system- og servicekonti med privilegerede rettigheder
  • Passwords til system- og servicekonti med privilegerede rettigheder følger god praksis og er systemunderstøttede
  • Konti med privilegerede rettigheder logges,
    når de starter programmer, så sporbarheden sikres
  • Logfiler gennemgås regelmæssigt med henblik på at opdage uautoriserede ændringer eller uhensigtsmæssigheder i it-miljøet
    (Region Midtjylland)
  • Medarbejdere med privilegerede rettigheder, der logges, har ikke adgang til loggen

De stadig udestående punkter er angivet med pågældende region. Rigsrevisionen vil følge op på de tre regioners arbejde med at nå i mål med hver deres punkter.

Se Rigsrevisionens notat.