Rigsrevisionens beretning om ransomware

21-02-2018

Sundhedsdatastyrelsen indgår i Rigsrevisions beretning om beskyttelse mod ransomwareangreb. Styrelsen følger udviklingen i ransomware nøje og styrker løbende sine it-mæssige sikringsforanstaltninger. De nationale sundhedsregistre har ikke været ramt af ransomwareangreb, og i de tilfælde, hvor koncernen har været ramt af angreb, har Sundhedsdatastyrelsen været i stand til hurtigt at genskabe fra backup.

Rigsrevisionen har den 21. februar 2018 offentliggjort en beretning om beskyttelse mod ransomware, som bygger på en it-revision hos en række statslige institutioner, herunder Sundhedsdatastyrelsen gennemført i foråret 2017.

Revisionen omfatter hele Sundheds- og Ældreministeriets område (undtaget Lægemiddelstyrelsen), da Sundhedsdatastyrelsen varetager it-funktionen på koncernniveau.

15 ud af 20 mål er helt eller delvist opfyldt 

På 15 ud af 20 opsatte kontrolmål opfylder Sundhedsdatastyrelsen helt eller delvist de tiltag, som Rigsrevisionen behandler i sin beretning.

Desuden har styrelsen implementeret en række fremadrettede tiltag, som Rigsrevisionen generelt anbefaler.

Sundhedsdatastyrelsen har en klar procedure omkring angreb, hvor det er muligt at rekonstruere data fra backup inden for en dag, så datatab og tabt arbejdstid holdes inden for et acceptabelt niveau.

Kritik på fem punkter

På fem kontrolmål møder Sundhedsdatastyrelsen kritik. Af de fire ud af de fem er der tale om tilfælde, hvor styrelsen allerede har implementeret løsninger eller er i gang med det.

Igangværende tiltag på udvalgte punkter

  • Dækkende risikovurdering:
    Rigsrevisionen finder, at Sundhedsdatastyrelsens formelle risikovurdering ikke er opdateret siden slutningen af 2015. I 2017 har Sundhedsdatastyrelsen gennemført en omfattende opdatering af den forretningsmæssige konsekvensvurdering i samarbejde med institutionerne i koncernen. Den er fundamentet for en løbende opdatering af risikovurderingen fra 2018. Koncernen har desuden i 2017 gennemført et eksternt serviceeftersyn af informationssikkerhed.

  • Brug af 2-faktor login ved webmail-løsninger:
    Rigsrevisionen finder, at Sundhedsdatastyrelsen ikke anvender 2-faktor login ved brug af webmail. Sundhedsdatastyrelsen arbejder aktuelt på at gennemføre løsninger, der vil gøre det muligt at ophøre med at anvende webmail.

  • Lokaladministratorer:
    Rigsrevisionen finder, at Sundhedsdatastyrelsen har lokaladministratorer uden arbejdsbetinget behov i henhold til den definition, som Rigsrevisionen anvender i beretningen. Sundhedsdatastyrelsen har over de seneste år målrettet nedbragt antallet af lokaladministratorer i Sundheds- og Ældreministeriet koncern med 90 pct. For de sidste 10 pct. - som i dag ikke kan udføre it-understøttede arbejdsopgaver i laboratorier mv. uden lokaladministratorrettigheder - er der implementeret en særlig dispensationsprocedure samt kompenserende sikkerhedsforanstaltninger omkring disse rettigheder.

  • Sikkerhedsopdatering af tredjepartsprodukter:
    Rigsrevisionen finder, at Sundhedsdatastyrelsen ikke har en systematisk tilgang til sikkerhedsopdateringer, der omfatter alle relevante tredjepartsprogrammer. Sundhedsdatastyrelsen har en løsning til automatisk sikkerhedsopdatering af servere og pc’er, og styrelsen udruller løbende helt systematisk sikkerhedsopdateringer. Sundhedsdatastyrelsen må imidlertid konstatere, at der fortsat findes et mindre antal tidligere lokalt installerede versioner af programmer, som ikke kan opdateres fra den centrale løsning. Sundhedsdatastyrelsen er ved at identificere de relevante pc’er og afinstallere disse programmer.

Redegørelse

Sundhedsdatastyrelsen vil i sin redegørelse, der vil afgå fra Sundheds- og Ældreministeriet til Rigsrevisionen, nøje redegøre for, hvordan man allerede har implementeret og fortsat vil arbejde for styrkelsen mod ransomwareangreb på koncernniveau.