Banedanmark har væsentlige sårbarheder i IT-sikkerheden, og det møder skarp kritik fra Statsrevisorerne.
Konkret er det IT-sikkerheden i det digitale signalsystem, der halter. Statsrevisorerne har tjekket IT-sikkerheden ud fra 19 forskellige punkter. Ti steder lever Banedanmark ikke op til vurderingskriterierne, seks steder kun delvist, og blot tre steder er IT-sikkerheden i orden.
I en ny rapport slår Statsrevisorerne fast, at den dårlige IT-sikkerhed er kritisabel.
”Banedanmark har væsentlige sårbarheder i IT-sikkerheden i signalsystemet. Dette finder Rigsrevisionen meget utilfredsstillende,” skriver Statsrevisorerne og fortsætter:
”Konsekvensen er, at der er risiko for, at IT-sikkerhedshændelser kan forstyrre eller standse togdriften, hvilket vil være til stor gene for passagerer og virksomheder. Længerevarende nedbrud kan også have betydning for samfundsøkonomien.”
Hos Banedanmark er meldingen, at man allerede har fokus på IT-sikkerheden.
”Banedanmark har arbejdet hårdt for at højne IT-sikkerheden i takt med det ændrede trusselsbillede i de seneste år,” skriver Kirsten Winther Jørgensen, der er Banedanmarks direktør for digitale signaler, i et skriftligt svar til DR og fortsætter:
”De forhold, som rapporten peger på, er i relevant omfang enten allerede håndteret eller også har Banedanmark en plan herfor.”
Som borger skal man kunne forvente, at Banedanmark kan håndtere at blive angrebet.
Hos PROSA ser formand Niels Bertelsen med kritiske øjne på situationen i Banedanmark. Han understreger, at der er tale om kritisk infrastruktur, som vi derfor skal passe ekstra godt på.
”Som borger skal man kunne forvente, at Banedanmark kan håndtere at blive angrebet – derfor køber jeg heller deres undskyldning om, at deres cyberberedskab fungerer tilfredsstillende, og at de kritiserede forhold af Statsrevisorerne allerede er håndteret. Her kan vi jo blot tænke en uge tilbage på den lammede togtrafikken i store dele af Jylland,” siger formanden i IT-fagforeningen.
Niels Bertelsen henviser til, at signalproblemer hos Banedanmark i sidste uge betød, at DSB endte ud i store problemer med togdriften, og at de flere steder måtte aflyse togafgange.
Budget: 22 mia. kroner
Signalsystemet, som Statsrevisorerne kritiserer, giver signaler til togene og styrer altså trafikken på jernbanerne. Signalsystemet giver lokomotivføreren besked om, hvorvidt toget må køre eller skal holde stille, og det er dermed både med til at sikre, at togene kører til tiden, og at togene ikke støder sammen.
Det nye signalsystem skal digitalisere alle de analoge systemer, som hidtil er blevet brugt.
Der er simpelthen for mange, også i det offentlige, som ikke gør nok i forhold til cybersikkerhed i Danmark.
I 2018 begyndte Banedanmark at implementere det nye signalsystem, som har et samlet budget på omkring 22 mia. kroner. Der har flere gange været forsinkelser i projektet, og det ventes derfor først, at implementeringen er gennemført på alle planlagte togstrækninger i 2033 – 12 år senere end oprindeligt planlagt.
Det er fortroligt, hvilke konkrete problemer der er med IT-sikkerheden i signalsystemet, men Statsrevisorerne fortæller, at undersøgelsen har taget udgangspunkt i den internationale standard for informationssikkerhed ISO 27001, som siden 2016 har været obligatorisk at følge for statslige myndigheder.
Tre gode råd fra PROSA
Hos PROSA er meldingen klar: Der skal skrues op for IT-sikkerheden – og hellere i dag end i morgen.
”Der er simpelthen for mange, også i det offentlige, som ikke gør nok i forhold til cybersikkerhed i Danmark, og noget tyder på, at det også gælder Banedanmark,” siger formand Niels Bertelsen.
Han har tre konkrete råd til de offentlige myndigheder.
”Første gode råd er at have de rette kompetencer og at sørge for efteruddannelse. Andet gode råd er at sørge for at vedligeholde fremfor at kun at fokusere på de nyeste systemer, og tredje gode råd er: Husk at investere.”
PROSA har lavet en række anbefalinger til offentlige IT-systemer, der skal forhindre flere IT-skandaler. Du kan finde anbefalingerne her.
