Gå til hovedindhold

Samarbejde med eksterne eksperter forbedrer Energinets it-sikkerhed

Publiceret d. 25.4.2022 13.41
Rigsrevisionen kritiserer Energinets håndtering af en it-samarbejdsaftale om serverdrift af Energinets it-infrastruktur og drift af en række kontorsystemer. Energinet anerkender dele af kritikken, men er uenig i andre kritikpunkter. Driftsaftalen er indgået for at sikre øget robusthed omkring Energinets it-drift og for at højne it-sikkerheden.

Statsrevisorerne kritiserer 25. april på baggrund af en beretning fra Rigsrevisionen Energinets håndtering af en samarbejdsaftale med eksterne eksperter, som skal stå for drift af Energinets servere samt for drift af en række af Energinets almindelige kontorsystemer, fx SAP og Sharepoint, der understøtter tidsregistrering, hjemmeside mv. Rigsrevisionen mener, at Energinets arbejde med at udbyde it-opgaverne kan medføre, ”at der er risiko for, at outsourcingen kan kompromittere forsyningssikkerheden”.
 
Energinet tager kritikken til efterretning, men er også uenig i flere kritikpunkter. Det konkrete samarbejde med KMD og et af verdens førende firmaer i drift af servere, Kyndryl er netop med til at højne sikkerheden og skabe fortsat stabil drift. 

Da driften af it-systemer bliver mere og mere kompleks og kræver specialiserede kompetencer, har Energinet ligesom andre statslige organisationer, der også har ansvar for samfundskritiske opgaver, valgt at samarbejde med eksterne partnere om driften af it-infrastrukturen, forklarer Torben Thyregod, finansdirektør for Energinet.

"Vores samarbejdspartnere skal drive og vedligeholde serverne. Vi ejer stadig de servere, der understøtter den forsyningskritiske drift, og de står fysisk hos os i Energinet, og vi har strenge adgangskrav og overvåget adgang, for de folk, der skal arbejde med serverne." 

"Vi mener, at det øger sikkerhed og drift, når Energinet bruger eksperter og professionelle samarbejdspartnere, frem for selv at skulle løse alle it-opgaver på alle områder i en mere og mere kompleks verden med hastige forandringer, siger han og understreger, at der fortsat vil være strøm i stikkontakterne og gas i hanerne, hvis en server går ned. Energinet har redundante systemer, nødprocedurer mv., der sikrer fortsat sikker drift af el- og gassystemerne."

Evigt kapløb
It-sikkerhed er et evigt kapløb. Hackere udvikler hele tiden nye metoder, og virksomheder som Energinet skal hele tiden bygge højere mure og øge sikkerheden.

"Hvad der var godt beredskab i går, er ikke nødvendigvis godt nok i morgen. Derfor finder Energinet - lige som alle andre organisationer - hele tiden steder, hvor der skal forbedringer til. Det er også sket i forbindelse med, at vi har kulegravet hele området forud for at skulle lave samarbejdsaftalen med KMD, og det er sket i forbindelse med Rigsrevisionens undersøgelse. Der er fundet forbedringspunkter, og vi har løbende forholdt os til det, som Rigsrevisionen har peget på, ligesom vi løbende har forbedret sikkerheden og tilpasset vores processer", siger Torben Thyregod og fortsætter. 

"Ingen i verden kan give garantier eller love hacker-sikre systemer, heller ikke Energinet. Men generelt kan jeg sige, at denne aftale skal sikre en effektiv og professionel drift af vores it-infrastruktur og i sidste ende understøtte forsyningssikkerheden af el og gas. Jeg sover roligt om natten, og det kan danskerne også gøre."

  • Kritikpunkt: "Energinet har ikke orienteret ministeriet rettidigt om outsourcingen"

    SVAR:

    Energinet mener, at der med samarbejdsaftalen med KMD er tale om en almindelig beslutning af driftsmæssig karakter, der ikke kræver forhåndsorientering, men er enig i at informationen hensigtsmæssigt kunne have været givet til ministeriet tidligere.

    Energinet orienterede ministeriet, efter at der var igangsat en indledende markedsdialog omkring udbuddet. Orienteringen af ministeriet fandt dog sted, før udbuddet blev gennemført, og 1 år inden kontrakten med samarbejdspartneren blev underskrevet. 

     
  • Kritikpunkt: ”Undersøgelsen viser, at Energinet ved forberedelsen ikke har risikovurderet outsourcingen i forhold til at sikre tilstrækkelig offentlig kontrol med forsyningskritisk infrastruktur.”

    SVAR:

    Energinet har i forbindelse med udbuddet taget højde for en række konkrete elementer, der sikrer Energinets kontrol med og ejerskab af den forsyningskritiske it-infrastruktur. Fra projektets start samt løbende er der lavet risikovurderinger, herunder med eksterne parter til at vurdere sikkerhedsløsningerne.

    Det er korrekt, at der ikke er lavet en risikovurdering specifikt ift. driften af den forsyningskritiske infrastruktur, men risikovurderinger har løbende været en del af outsourcingforløbet.

    Der er i aftalen skelnet skarpt mellem forsyningskritiske og ikke-forsynings kritiske it-systemer og infrastruktur, med skærpede aftalekrav til driften af servere på det forsyningskritiske område. Både servere og netværk er fortsat ejet af Energinet og lokaliseret på Energinets lokationer. Der er også undervejs i forløbet lavet pauser i udbud og præciseringer af aftalen, så outsourcingen kan gennemføres på sikker og effektiv vis uden at gå på kompromis med sikkerheden.

    Energinet har derudover et fortsat fokus på at opdatere sikkerhedsløsningerne, når nuværende it-systemer og infrastruktur udskiftes, med de muligheder det bringer teknologisk.

     
  • Kritikpunkt: ”Energinet har dog i forbindelse med gennemførelsen af outsourcingen foretaget en risikovurdering af it-sikkerheden, der viser, at Energinet i en lang periode ikke vil kunne leve op til gældende it-sikkerhedsmæssige krav.”

    SVAR:

    Energinet følger fuldt ud Digitaliseringsstyrelsens katalog over kontraktbestemmelser til outsourcingkontrakter for myndigheder, som outsourcer driften af samfundskritiske it-systemer. Et katalog, der udspringer af den Nationale Strategi for Cyber- og Informationssikkerhed 2018- 2021, og hvor målgruppen for kataloget er myndigheder, der er ansvarlige for samfundskritiske it-systemer og outsourcer driftsopgaver vedrørende disse.

    Energinet vurderer ikke, at der er noget i samarbejdsaftalen, der gør, at Energinet dermed ikke lever op til lovgivningsmæssige krav, krav fra myndigheder mv. 

    Energinet har undervejs i processen afdækket udfordringer på sikkerhedsområdet. Disse forhold skyldes ikke udbuddet. Tværtimod så har arbejdet med at skulle overføre serverdrift mv. til en professionel samarbejdspartner afdækket flere sikkerhedsproblematikker i de ældre dele af it-infrastrukturen mv. De identificerede udfordringer har ført til en skærpet indsats i Energinet i form af skærpede adgangsprocesser og tekniske løsninger. 

     
  • Kritikpunkt: ”Rigsrevisionen har konstateret alvorlige sikkerhedsbrister i forbindelse med outsourcingen.”

    SVAR:

    Energinet har som nævnt i svaret herover gennemført en skærpet indsats ift. at håndtere de sikkerhedsudfordringer, der er identificeret i forbindelse med udbuddet. Dette både på den korte bane i form skærpede processer og tekniske løsninger, og på den længere bane, når it-systemer og it-infrastruktur udskiftes med de nye tekniske muligheder, det skaber. Dette sker i tæt samarbejde med infrastruktur-leverandøren og andre relevante samarbejdspartnere. 

  • Kritikpunkt: ”Rigsrevisionen har gjort opmærksom på sikkerhedsbristerne i både 2020 og 2021, men Energinet har ikke rettet op herpå.”

    SVAR:

    Energinet har fulgt op på alle Rigsrevisionens anmærkninger.

    Energinet har gennemført en skærpet indsats i forhold til at håndtere de sikkerhedsudfordringer, der er identificeret, både i forbindelse med forarbejdet til udbuddet og i forbindelse med Rigsrevisionens undersøgelse. De gennemførte og iværksatte tiltag dækker både over nye processer, øget kontrol og tekniske løsninger samt langsigtede designforbedringer, når de nuværende systemer udskiftes.

    Energinet har således fulgt op på Rigsrevisionens anmærkninger og vurderer, at de implementerede tiltag aktuelt håndterer de risici, som Rigsrevisionen har påpeget. 

    På den længere bane er der behov for at udvikle og implementere større systemmæssige opdateringer som et naturligt led i udviklingen på sikkerheden omkring de forsyningskritiske systemer, herunder opdatering af de nuværende systemer og it-infrastruktur. 

     
     
FAKTA OM AFTALEN
Energinet har indgået en samarbejdsaftale med KMD med underleverandør Kyndryl.
 
Aftalen vedrører drift af servere, storage, m.v., samt driften af administrative it-systemer/it-applikationer som fx SAP, Sharepoint og andre almindelige kontor it-applikationer/it-programmer. 

Aftalen vedrører ikke driften af de it-applikationer, Energinet betegner som ”forsyningskritiske” fx driftssystemer i Energinets kontrolrum. KMD skal varetage driften af de servere, der understøtter de forsyningskritiske systemer, men serverne er fortsat ejet af Energinet og fysisk placeret hos Energinet. De servere, der understøtter ikke-kritiske funktioner vil overgå til KMD. Den software, som Energinet bruger til de forsyningskritiske opgaver, er ikke er en del af aftalen med KMD.

Samarbejdet er indgået for at sikre stabil og sikker serverdrift samt øget skalerbarhed og robusthed af it-infrastrukturen i fremtiden.