Statens It-råd er i dag kommet med en ny status på statens store it-projekter og it-systemporteføljer, og der er både godt og dårligt nyt at læse.
Rapporten viser gode takter i forhold til styring af statens it-projekter, men det ser stadig ikke godt ud, når det kommer til teknisk vedligehold og sikkerhed. Og det er en bombe under vores digitale samfund.
I over 10 år har Statens It-råd arbejdet for bedre it-projekter i staten med fokus på at udvikle og modne de styringsmæssige kompetencer hos myndighederne.
Den nyeste statusrapport viser, at arbejdet bærer frugt. Der er en tendens til færre røde projekter og en indikation af en forbedring af projekterne – bl.a. hvordan myndigheder i stigende grad tager ansvar for udviklingssamarbejdet sammen med leverandørerne og aktivt involverer Statens It-råd både før og under projekterne.
Men når det kommer til håndtering af de eksisterende systemer, er billedet desværre et helt andet.
IT-Branchen har tidligere været ude med en skarp kritik af det tekniske vedligehold af statens kritiske it-systemer, og statusrapporten 2022 fra Statens It-råd viser, at der desværre fortsat er store udfordringer med de eksisterende systemer i det offentlige.
Sikkerheden halter
Blandt andet konkludere de, at tilstanden af myndighedernes it-systemporteføljer i 2022 overordnet set er uændret i forhold til 2021.
F.eks. har 28% af de kritiske systemer udfordringer med deres teknisk tilstand, mens 17% af de samfundskritiske systemer ikke har alle relevante sikkerhedsopdateringer og patches implementeret.
It-rådet fremhæver selv, at det er kritisabelt, at så stor en del af systemerne vurderes at have en utilfredsstillende sikkerhed.
”Det er meget bekymrende, at en stor del af de samfundskritiske it-systemer ikke har sikkerheden i orden. Vi er nødt til at få hævet sikkerhedsniveauet i statens mest kritiske it-systemer i en fart, da vi som land står overfor et skærpet, hybridt trusselsbillede, hvor vi i stigende grad må forvente forskellige former for cyberangreb,” udtaler Jacob Herbst, forperson for IT-Branchens Policy Board for Digital Sikkerhed og fortsætter:
”Statusrapporten viser desværre, at flere af de kritiske systemer har langt vej igen, hvis de skal leve op til de skærpede cybersikkerhedskrav i EU’s NIS2-direktiv, der skal være implementeret senest i oktober 2024. Det er vi nødt til at tage hånd om.”
Eksperterne, der skal fikse sikkerheden, mangler også
En af de største udfordringer, i forhold til vedligeholdelse af statens it-systemer, er manglen på kompetencer.
Blandt de 13 myndigheder, der fremhæves i statusrapporten, er 28% af deres kritiske systemer udfordret af ikke at have ansat nok interne it-eksperter til at kunne håndtere udfordringerne. 16% af de samfundskritiske it-systemer har lignende kompetenceudfordringer.
Den udfordring står til at blive større, når Danmark i 2030 vurderes at mangle mellem 15-20.000 fuldtidsressourcer inden for cyber- og informationssikkerhed.
Systemerne sander til
Det er ikke kun sikkerheden, der er en udfordring for de statslige it-systemer. Rapporten viser også, at cirka hvert femte kritiske system ikke understøtter myndighedernes kerneopgaver på tilfredsstillende vis, og at 22% har ikke retvisende dokumentation.
”Det nytter ikke noget, at vi lader de eksisterende systemer sande til. Vi har brug for en strategisk prioritering af vedligehold og videreudvikling, ellers ender vi med, at teknisk gæld og manglende dokumentation spænder ben for vores digitale udvikling,” udtaler Michael Wätjen, forperson for IT-Branchens Policy Board for Offentlig Digitalisering.
Det fremgår af rapporten, at flere myndigheder fortæller, at de i de seneste år har fat udfordringer med at prioritere tilstrækkelig kapacitet til at sikre det nødvendige tekniske vedligehold og videreudvikling af de eksisterende systemer.
”I sidste ende risikerer myndighederne at blive fastlåst til et system eller en leverandør, som de ikke kan skifte ud. Rapporten konkluderer allerede nu, at 15% af de samfundskritiske systemer ikke kan genudbydes. Det er hverken godt for markedet eller myndigheden,” udtaler Michael Wätjen.
