Rigsrevisionen konstaterer sikkerhedsbrister hos Energinet både i 2020 og 2021
Af Claus Djørup
Energinet og til dels klima-, energi- og forsyningsminister Dan Jørgensen (S) får en hård kritik af statsrevisorerne. Det skyldes Rigsrevisionens rapport om løsagtig håndtering af it-sikkerhed for samfundskritisk infrastruktur, nemlig el- og gasnet.
-Vi opfordrer ministeren til at vende tilbage inden for den næste måned, for det er alvorligt, at Rigsrevisionen har konstateret sikkerhedsbrister både i 2020 og 2021, siger Troels Lund Poulsen (V) på vegne af de seks statsrevisorer.
Ruslands invasion i Ukraine den 24. februar sætter risikoen for cyberangreb sættes i relief. Hvor omfattende er sikkerhedsbristerne?
-Det kan vi ikke sige noget om, for det har vi ikke fået oplyst af den grund, at det er fortroligt. Det har vi som statsrevisorer ikke har mulighed for at kigge ned i det, men Rigsrevisionen ved det og har gjort Energinet opmærksom på det, slutter Troels Lund Poulsen.
Energinet slår fra sig
”Energinet tager kritikken til efterretning, men er også uenig i flere kritikpunkter,” skriver finansdirektør Torben Thyregod i Energinets pressemeddelelse mandag 25. april med overskriften ”Samarbejde med eksterne eksperter forbedrer energinets it-sikkerhed”.
Han afviser bekymringer for strøm- eller gasafbrydelser på grund af cyberangreb.
”Aftalen vedrører ikke driften af de it-applikationer, Energinet betegner som ‘forsyningskritiske’ f.eks. driftssystemer i Energinets kontrolrum. Den software, som Energinet bruger til de forsyningskritiske opgaver, er heller ikke ikke er en del af aftalen, fastslår Torben Thyregod.
”Det øger sikkerhed og drift, når Energinet bruger eksperter og professionelle samarbejdspartnere, frem for selv at skulle løse alle it-opgaver på alle områder i en mere og mere kompleks verden med hastige forandringer,” understreger han.
Forretningsservice
På baggrund af Rigsrevisionens rapport konstaterer statsrevisorerne, at datterselskabet ”Energinet Forretningsservice A/S” har outsourcet (overladt) driften af 90 procent af sine it-systemer til KMD og IBM trods risiko for cyberspionage og cyberkriminalitet.
Det skete i juni 2020 trods Rigsrevisionens advarsler om sikkerhedsrisici ved udlægningen til eksterne leverandører, alt imens Energinet i lange perioder ikke har levet op til gældende it-sikkerhedskrav. Så sent som november 2021 fandt Rigsrevisionen sikkerhedsbrister.
Klima-, Energi- og Forsyningsministeriet blev heller ikke orienteret om udbuddet, selv om Energinet er lovmæssigt forpligtet til at orientere om væsentlige forhold i sin virksomhed.
Løst tilsyn
Nok har ministeriet ført tilsyn med it-sikkerheden i Energinet, men der ikke fuldt ud er gjort brug af tilgængelig viden eksempelvis i sektortilsynsrapporterne.
”Energinets manglende håndtering af sikkerhedsrisici før og under outsourcingforløbet har ført til en unødig risiko for kompromittering af forsyningssikkerheden,” skriver statsrevisorerne.
Den forsyningskritiske it-infrastruktur er fortsat placeret fysisk i Energinet, men hovedleverandøren KMD og underleverandøren IBM er ansvarlige for driften. De har således både fysisk og virtuel adgang til at kunne påvirke de it-systemer, der styrer elforsyningen, påpeger statsrevisorerne.
Udbuddet vedrører således systemansvarsselskabets kerneopgave med at sikre forsyningssikkerheden, hedder det, hvilket Energinet afviser.
Aftale om kontorsystemer
Energinet oplyser, at underleverandøren er ”Kyndryl”, som er udsprunget af IBM.
Aftalen vedrører drift af servere, storage og administrative it-systemer/it-applikationer som SAP, Sharepoint og andre almindelige kontor it-applikationer/it-programmer.
Videre oplyser Energinet, at KMD skal varetage driften af de servere, der understøtter de forsyningskritiske systemer, men serverne er fortsat ejet af Energinet og fysisk placeret hos Energinet.
De servere, der understøtter ikke-kritiske funktioner vil overgå til KMD.
”Energinet følger fuldt ud Digitaliseringsstyrelsens katalog over kontraktbestemmelser til outsourcingkontrakter for myndigheder, som outsourcer driften af samfundskritiske it-systemer,” forsikrer Torben Thyregod.
Energinet har fulgt op på Rigsrevisionens anmærkninger og vurderer, at de implementerede tiltag aktuelt håndterer de risici, som Rigsrevisionen har påpeget, tilføjer han.
Energiministeren kræver kursændring
Klima-, energi- og forsyningsminister Dan Jørgensen (S) – som risikerer at skulle stå til regnskab i folketinget for Energinets it-politik – bøjer sig dybere for kritikken.
Han forventer, at Energinet er samarbejdsvillig i opfølgningen på kritikken. Energinets bestyrelse og direktion skal have fuld fokus på it-sikkerhed.
”Energinet har ansvar for samfundsvigtig infrastruktur, så det er en kritik, der skal tages meget seriøst. Jeg har derfor bedt ministeriet om hurtigst muligt at igangsætte en række tiltag, så kritikken af Energinet og ministeriet imødekommes på bedste vis,” skriver Dan Jørgensen i en pressemeddelelse.
Der nedsættes en ekspertgruppe med Energistyrelsen og Center for Cybersikkerhed.
Energinet pålægges at flytte it-området fra Energinet Forretningsservice til moderselskabet Energinet SOV (selvstændig offentlig virksomhed )
Klima-, Energi- og Forsyningsministeriet vil præcisere ejerskabsdokumenterne for at sikre, at Energinets oplysningspligt entydigt afspejler lovgivningen.
Sondringen skal være tydelig mellem det ejermæssige tilsyn og sektortilsynet.
Endelig pålægges Energinet at rapportere løbende om it-outsourcingen.
Samråd om statsinstitutioners brud på it-forskrifter
Torsdag 28. april kl. 13 er finansminister Nicolai Wammen (S) i åbent samråd i finansudvalget om rigsrevisionsrapporten fra januar om fem statslige myndigheders efterlevelse af 20 tekniske minimumskrav til it-sikkerhed. Samrådet er indkaldt af finansordfører Troels Lund Poulsen.
Her lyder det centrale afsnit i de parlamentariske revisorers kritik:
„Statsrevisorerne finder det utilfredsstillende, at hverken Statens It eller nogen af de 4 andre statslige myndigheder har efterlevet alle de tekniske minimumskrav til it-sikkerheden i staten, på trods af at de trådte i kraft for 1-1½ år siden. Sårbarhed i myndighedernes it-systemer, hjemmesider, mobiltelefoner og tablets har således medført øget risiko for cyberangreb og misbrug.“ (Dj/260422)
© Ophavsretsklausul: Fagpressebureauets artikler og billeder må kun anvendes, distribueres eller publiceres efter aftale. Dette gælder også de i artiklerne nævnte personer, institutioner og virksomheder.