Skyggedokumenter og åbne portvagter: Statsrevisorer raser over Forsvarsministeriets slørede våbeninformation. København.Det er en kende absurd: I hjertet af Danmarks forsvarsapparat blafrer sikkerheden om hjørnerne med våbenoplysninger, som om de var almindelige notater på køleskabet. Det fremgår af en knusende rapport fra Rigsrevisionens kontrolinstans, der slår fast, at Forsvarsministeriet har givet alt for mange ansatte fripas til at læse detaljer om det, der i yderste konsekvens kan redde eller afsløre liv.Rigsrevisionen kritiserer først og fremmest, at ministeriet på trods af advarsler ikke har foretaget de nødvendige behovsvurderinger, før de tildelte adgangsrettighederne. Hvilke fogeder ville overhovedet tillade husnøglerne til armérens våbenlager til alle, der bare har lyst? Alligevel ligger ministeriets digitale nøgler frit for alle ansatte med en IT-brugerprofil.Uigennemtrængeligt kaos i it-loggene På et tidspunkt virkede det, som om selv de interne adgangs- og logsystemer havde meldt pas. Ifølge rapporten mangler der helt basale spor af, hvem der har åbnet mappen med finopsætningen på Jægerkorpsets specialvåben, og hvornår. Det betyder, at en enkelt uforsigtig eller utilbørlig handling bevidst eller ved et uheld kan glide gennem systemet uden en finger at spå.”Når der ikke er styr på, hvem der læser, kopierer eller gemmer disse oplysninger, står vi med en risiko, som grænser op til naivitet,” bemærker Rigsrevisionens formand. Kritikken er så skarp, at det udløser den næsthøjeste grads påpegning i beretningen.En verden af fristelser Bag lukkede døre i it-afdelingen har man udfoldet en praksis, som minder om en skattejagt uden kort: Alle kan deltage, men ingen ved, hvem der finder skatten. Dermed står Forsvaret potentielt åbent for spionage, sabotage eller anden kriminalitet et mareridt af scenarier, der hurtigt kunne lede til internationale kriser.Forsvarsministeriet har erkendt manglerne, men har tilsvarende ingen klar tidsplan for, hvornår eller hvordan de rette adgangsprocedurer og logregler skal indføres. En utvetydig mangel på hastværk, lyder det fra revisorerne. For hver dag, der går uden knivskarpe regler, vokser risikoen for, at fortrolige data ender i de forkerte hænder.Hvad nu? Ministeriet lover forbedringer: strengere behovsvurderinger, automatiserede loganalyser og månedlige revisioner af adgangsrettigheder. Men troværdigheden er slidt, og presset på ministeren stiger, efterhånden som offentligheden kræver svar på, hvordan man kan miste overblikket over selve hjertet i Forsvarets beredskab.I skyggen af rapportens dunkle påpegninger gælder det nu om at få låst portene og genopbygget tilliden før nogen opdager, at nøglerne har låst sig selv op.
Kritik af sikkerheden i Forsvarsministeriet: Manglende kontrol med våbenoplysninger Statsrevisorerne har netop fremlagt en ny beretning, der sætter skarp fokus på Forsvarsministeriets it-sikkerhed. Ifølge rapporten har ministeriet givet et stort antal ansatte adgang til fortrolige oplysninger om Forsvarets våben uden at afklare, om de enkelte medarbejdere reelt havde behov for at se materialet. Mangelfuld adgangsstyring og utilstrækkelig overvågning af it-systemerne betyder, at der hverken foreligger tilfredsstillende dokumentation for, hvem der har tilgået våbendata, eller hvilke oplysninger der er blevet åbnet. Statsrevisorerne advarer om, at dette kan åbne døren for bevidst eller ubevidst videregivelse muligvis i forbindelse med spionage, sabotage eller anden form for kriminalitet. Revisionsberetningen placerer manglerne i kategorien “næsthøjeste grad af kritik”. Den peger på, at Forsvarsministeriets ansvar for landets sikkerhed strækker sig langt ud over kaserner og skanseværker. It-systemernes sårbarhed underminerer tilliden til, at følsomme data håndteres på en måde, der lever op til både nationale og internationale sikkerhedsstandarder. Ifølge rapporten er der på trods af tidligere advarsler ikke gennemført tilstrækkelige risikovurderinger i forbindelse med tildelingen af adgangsrettigheder. Statsrevisorerne understreger, at en målrettet gennemgang af medarbejderes behov for information kan begrænse antallet af adgangsindgange og reducere risikoen for tab af fortrolighed. Forsvarsministeriet erkender over for Rigsrevisionen, at beretningen afdækker reelle svagheder, og har iværksat en handlingsplan. Ministeriet har lovet at indføre skærpet brugerstyring, løbende overvågning af logfiler og regelmæssige audits for at sikre, at kun personer med et klart arbejdsrelateret behov kan tilgå våbendata. Eksperter i it-sikkerhed fremhæver, at selv små fejl i adgangskontrol kan få alvorlige følger, når de vedrører militært følsomme oplysninger. I lyset af den aktuelle kritik peger de på nødvendigheden af at kombinere tekniske løsninger med klare procedurer og etiske retningslinjer for medarbejdernes ansvar. Trods beretningens alvor understreger Statsrevisorerne, at kritikken kan afhjælpes, hvis Forsvarsministeriet følger sine egne anbefalinger. En opstramning af it-sikkerheden vil ikke alene styrke beskyttelsen af våbenoplysninger, men også genoprette tilliden til, at statens forsvarsramme hviler på et solidt fundament af ansvarlighed og gennemsigtighed.
Manglende kontrol med våbenoplysninger giver alvorlig kritik Statsrevisorerne retter skarp kritik mod Forsvarsministeriet for utilstrækkelig styring af følsomme våbendata i ministeriets it-systemer. I en netop offentliggjort beretning understreges det, at ministeriet har tildelt et stort antal ansatte adgang til oplysninger om Forsvarets våben uden dokumenteret behovsvurdering. Ifølge kritikken er der i praksis ikke gennemført en reel selektion af, hvilke medarbejdere der reelt har et sagligt behov for at se detaljer om type, antal og placering af våben. Samtidig mangler klare procedurer til at registrere og følge op på, hvem der tilgår de følsomme data. ”Der er risiko for, at oplysningerne bevidst eller ubevidst videregives og efterfølgende kan misbruges i spionage, sabotage eller anden kriminalitet,” fastslår beretningen. Den konstaterede svaghed i adgangen til våbendata har affødt den næsthøjeste grad af kritik fra Statsrevisorerne et signal om, at manglerne vurderes som både alvorlige og presserende. Forsvarsministeriet kan ifølge revisorerne ikke dokumentere, at der er blevet gennemført systematiske behovsvurderinger, før adgangsrettigheder blev givet. Heller ikke den løbende overvågning af, om medarbejdere efterlever adgangsbegrænsningerne, lever op til kravene. Dermed står ministeriet med en åben dør til oplysninger, der normalt anses for at være blandt landets mest følsomme. Rapporten peger på, at en stram rollestyring hvor kun udvalgte medarbejdere med konkret tjenstligt ansvar får adgang ville kunne reducere risikoen for, at fortrolige data lækkes. Endvidere anbefales etablering af automatiske log- og alarmfunktioner, som kan advare om usædvanlige forespørgsler og nedbringe sandsynligheden for, at uvedkommende oplysninger slippes ud. Forsvarsministeriet har endnu ikke kommenteret de konkrete kritikpunkter, men tidligere udmeldinger har understreget et ønske om at styrke it-sikkerheden. Revisorernes rapport peger nu på behovet for hurtige og målrettede tiltag, hvis ministeriets it-systemer fremover skal leve op til det sikkerhedsniveau, som regering og forsvar ønsker.