260 af statens it-systemer har været under lup. 111 af dem er i »utilstrækkelig« stand

Foto : Andrew Rybalko / Bigstock Photo

260 af statens it-systemer har været under lup. 111 af dem er i »utilstrækkelig« stand

I en ny rapport fra Statens It-råd har 12 myndigheder skulle beskrive helbredstilstanden for deres it-systemer. 260 systemer er blevet undersøgt, og næsten halvdelen af dem har problemer.

Massevis af it-systemer i staten er i ringe stand og kan være uddaterede eller have problemer med sikkerheden.

Det fremgår af en ny rapport fra Statens It-råd, der for første gang kaster lys over, hvordan det står til med styringen af it-porteføljer i en række statslige institutioner.

I rapporten har 12 forskellige myndigheder skulle undersøge, hvilke it-systemer de har, og hvilken tilstand de er i.

De forskellige myndigheder har tilsammen undersøgt 260 systemer, og ud af dem bliver 111 systemer beskrevet til at være i »utilstrækkelig tilstand«. Det svarer til næsten halvdelen af de undersøgte systemer, og det har fået it-rådets medlemmer til at løfte øjenbrynene.

»Udfordringer i 111 ud af 260 systemer er meget og understreger pointen om, hvor vigtigt det er, at statslige myndigheder prioriterer arbejdet med vedligeholdelse, drift og videreudvikling af eksisterende systemer,« skriver Statens It-råd i rapporten.

Blandt de 260 systemer, der er blevet undersøgt hos myndighederne, er der 32 af dem, der er kategoriseret som samfundskritiske systemer. I den kategori er der ni systemer, hvor systemtilstanden er utilstrækkelig, hvilket svarer til næsten en tredjedel af de samfundskritiske systemer.

Opdateringer og teknisk stand driller

Statens It-råd består af 13 eksperter, der vejleder statslige institutioner med at udvikle og drifte it-systemer.

For at vurdere, om de forskellige systemer er i god eller dårlig tilstand, har it-rådet bedt myndighederne om at svare på seks spørgsmål i forbindelse med kortlægningen.

Spørgsmålene handler om systemernes tekniske tilstand, om de er opdaterede og sikre, samt om der er retvisende dokumentation for systemerne. Hvis ikke myndighederne kan svare positivt på samtlige seks spørgsmål om et system, vurderer It-rådet, at systemerne er i »utilstrækkelig systemtilstand«.

Ud af de 111 systemer, der er blevet kategoriseret til at være i dårlig stand, er der to af systemerne, der slår negativt ud på alle seks spørgsmål, imens omkring 75 procent af systemer har udfordringer på maksimalt tre af spørgsmålene.

»Langt hovedparten af de 111 systemer har derfor kun udfordringer på enkelte parametre, som i overvejende grad falder ind under tre spørgsmål om teknisk tilstand, dokumentation samt sikkerhedsopdateringer og patches,« skriver It-rådet.

Læs også: Stort system-review hos DMI: »Vi burde have lavet det her for lang tid siden«

Ikke godt nok

It-rådets konklusionen om at over hundrede it-systemer i staten er i dårlig stand, kommer ikke bag på John Gøtze, der er adjunkt ved IT-Universitet.

»Det overrasker mig ikke. Sådan er det i store organisationer - både i de offentlige og private. Undersøgelsen viser, at de ikke har styr på det, og der er ingen tvivl om, at det ikke er godt nok,« siger han.

Han påpeger, at der er nogle af de seks spørgsmål, som myndighederne har skullet svare på for at beskrive deres systemer, der ikke er »lige lette at svare på«.

»Der er nogle af spørgsmålene, hvor svaret bliver en vurderingssag, men der er også spørgsmål, hvor det ikke er til diskussion, at svarene skal være positive,« siger han og tilføjer.

»Derfor er det også en relativt hård konklusion fra Statens It-råd, men det skal også være hårdt. Det er enormt vigtigt, at der er styr på it-systemerne i staten,« siger John Gøtze.

Ifølge adjunkten ringer alarmklokkerne særligt kraftigt på de ni samfundskritiske systemer, der er blevet vurderet til at være i utilstrækkelig tilstand.

»De myndigheder, der har problemer på det her område, skal tage sig sammen,« siger han.

Flere reviews på vej

Det er et krav, at alle statslige myndigheder skal til review hvert tredje år, hvis de enten har samfundskritiske it-systemer eller har årlige it-omkostninger på mere end 30 millioner kroner.

Ifølge rådet skal den nye undersøgelse give bedre muligheder for at analysere på tværs af it-udvikling, drift og vedligehold, og derudover skal den »afdække underliggende tendenser og udfordringer i statslig it-styring.«

Forude venter stadig flere undersøgelser på området, og i 2020 er der planlagt 15 såkaldte reviews. Herunder Rigspolitiet og Skatteministeriet, der står for næsten halvdelen af de samlede årlige it-omkostninger i staten.

De 12 myndigheder, der indtil videre har været igennem processen, står for 20 procent af statens samlede it-omkostninger. Det svarer til 1,5 milliarder ud af i alt 8 i 2018, lyder det i rapporten.

»Da størstedelen af statens samlede portefølje endnu ikke har været til review, er rådet på nuværende tidspunkt forsigtige med at drage konklusioner om den overordnede tilstand på den statslige it-system portefølje,« skriver It-rådet.

Myndigheder til review

Siden slutningen af 2018 til og med 2019 har Statens It-råd gennemført 12 reviews af statslige myndigheders it-systemporteføljestyring.

De tolv myndigheder, der har været igennem øvelsen indtil videre, står for omkring 20 procent af statens samlede it-omkostninger.

Myndighederne er:

  • Børne- og Undervisningsministeriet
  • Udlændinge- og Integrationsministeriet
  • Ehvervsstyrelsen
  • Styrelsen for Dataforsyning og Effektivisering
  • Søfartsstyrelsen
  • Finanstilsynet
  • Sundheds- og Ældreministeriet
  • Domstolsstyrelsen
  • Kriminalforsorgen
  • Civilstyrelsen
  • Danmarks Meteorologiske Institut
  • Digitaliseringsstyrelsen

Det fremgår ikke af undersøgelsen, hvilke myndigheder der har systemer i utilstrækkelig tilstand.

Forude venter stadig flere undersøgelser på området, og i 2020 er der planlagt 15 såkaldte reviews.

Kilde: Statens It-råd.

Om undersøgelsen

Statens It-råd har undersøgt, hvor mange systemer, der var i »utilstrækkelig systemtilstand«.

Det er ifølge it-rådet et udtryk for, om systemet har udfordringer, der kan indikere såkaldte legacyproblematikker eller problemer med sikkerheden. Legacyproblemer kan eksempelvis gøre det svært at udskifte systemerne, og der kan være en risiko for, at systemerne har sikkerhedshuller, så uvedkommende kan få adgang til dem.

For at vurdere, om de forskellige systemer er i god eller dårlig tilstand, har It-rådet bedt myndighederne om at svare på seks spørgsmål i forbindelse med kortlægningen.

Spørgsmålene handler om systemerne tekniske tilstand, om de er opdaterede og sikre samt om der er retvisende dokumentation for systemerne. Hvis ikke myndighederne kan svare positivt på samtlige seks spørgsmål om et system, vurderer It-rådet, at systemerne er i »utilstrækkelig systemtilstand«.

  • Hvor tilfredsstillende er it-systemets tekniske tilstand i dag?
  • Er dokumentationen i al væsentlighed ret visende for it-systemts nuværende tilstand?
  • Overholder forvaltningen af it-systemet de gældende politikker og retningslinjer, som myndigheden har implementeret i henhold til ISO 27001-standarden?
  • Imødekommer it-systemet kravene i databeskyttelsesforordningen?
  • Er alle relevante sikkerhedsopdateringer og patches implementeret?
  • Findes der en disaster recovery-plan for it-systemet, og er planen testet?

Kilde: Statens It-råd.

Aarhus Kommune
Annonceret d. 28-10-2020
Uddannelses- og Forskningsstyrelsen
Annonceret d. 28-10-2020
HOFOR A/S
Annonceret d. 28-10-2020
Medcom A/S
Annonceret d. 27-10-2020