Statsrevisorernes ultimatum: Ministeriernes it-beredskab skal på rette spor. I snart et årti har de samme advarsler rullet fra statsrevisorernes mund, som en ridset grammofonplade i ét og alt gentagende klagesang. For 117. gang har det parlamentariske kontrolorgan netop rettet skarp kritik mod en række ministerier og myndigheder, der fortsat mangler basale sikkerhedsforanstaltninger i deres it-beredskab. Men denne gang er truslen på bordet: Anonymiteten ryger, hvis ikke orden er skabt inden februar herefter venter offentlig udskamning.Gentagne påmindelser er én ting, men under pres fra hybride angreb mod vestlige samfund kan statsrevisorernes passivitet ikke længere retfærdiggøres. Efterretningstjenesterne bekræfter, at hackere angriber døgnets timer på både erhvervsliv og offentlige systemer. Samtidig taler regeringen storslået om, at cybertruslen skal tages alvorligt alligevel lader flere ministre til at betragte advarslerne som overdrivelser.I årevis har statsrevisorerne påpeget, at kritiske it-systemer i ministerier risikerer at blive lammet: Hospitalsuddannelser sat på standby, lufthavne nedlukket, telenetværk uden forbindelse. Hver gang følger en række ønsker til opgraderinger og tilstrækkelige sikkerhedsprocedurer og hver gang er svaret: “Vi arbejder på sagen.” Men det kræver mere end gode hensigter at modstå cyberangreb fra velorganiserede udenlandske aktører.Indtil nu har kritikken været anonymiseret. Formodentlig for at undgå at tegne en køreplan for fjendtlige magter. Men med truslen om at eksponere de ansvarlige ministerier rykker statsrevisorerne langt væk fra deres sædvanlige tavshed. De lægger pres på mindretal og majoritet i et væld af regeringskontorer og lover, at navnene offentliggøres, hvis it-sikkerheden ikke løftes til et acceptabelt niveau.Det er et usædvanligt greb. I Danmark har vi et ry for ordentlighed og tillid mellem institutioner. Men den selvsamme tillid mister sin værdi, hvis myndighederne ikke kan garantere fundamentale forsvarsværker mod digitale angreb. Og når statsministeren i Folketingets talerstol hylder kampen mod hybride trusler, bliver hver eneste minister uden beredskabsplan afsløret som en hykler, hvis han eller hun samtidig behandler disse anbefalinger som støv på en gammel boghylde.Statsrevisorernes arbejde er ikke lunefuldt nørderi. Deres rolle er at kontrollere statens maskineri og pege på fejl, før krisen indtræffer. Når deres advarsler ikke bliver hørt, står vi som samfund nøgen i mørket, uden reservegenerator, uden låst serverrum og uden plan for genopretning af vitale funktioner.Derfor fortjener statsrevisorerne fuld opbakning fra både regeringen og oppositionen. Det handler ikke om at skælde enkeltpersoner ud, men om at sikre, at alle statsinstitutioner lever op til et fælles ansvar: at beskytte borgernes livsnerve. Vi som borgere kan ikke acceptere, at detaljen om manglende sikkerhedsopdateringer bliver ved med at stikke i øjeblikkets roser.Med bindende frister og et løfte om offentliggørelse af navne ønsker statsrevisorerne at ændre spillets regler. Nu gælder det om at indhente tabt terræn, så hospitalscomputere, lufthavnsdrift og teleinfrastruktur ikke ligger som levedygtige mål for den næste bølge af digitale angreb. For bag tallene og lovgivningen står der mennesker, der hver dag forventer, at staten kan levere også i cyberspace. Det ansvar kan vi ikke plante om til et andet år.
Statsrevisorerne har for 117. gang rettet skarp kritik mod en række ministerier og myndigheder, fordi de fortsat ikke har sikret deres it-beredskab. Siden de første advarsler blev fremsat, er tiden gået, men punktopstillinger i rapporter og gentagne påmindelser har tilsyneladende haft begrænset effekt.I deres seneste udtalelse understreger statsrevisorerne, at manglende it-sikkerhed ikke blot er en teknisk svaghed, men et brud på den tillid, borgere og virksomheder placerer hos staten. De giver ministerierne en endelig frist til februar for at rette op på manglerne ellers vil de nøjes med anonymiserede henvisninger til “udvalgte ministerier” blive erstattet af en offentlig navngivning.Baggrunden for den strammere tone er en ny vurdering fra de efterretningstjenester, der fastslår, at vestlige samfund dagligt udsættes for hybride angreb. Hospitaler, lufthavne, telenetværk og anden kritisk infrastruktur kan lammes, hvis beredskabet ikke lever op til de basale krav om kontrol, opdateringer og redundans.Tidligere rapporter har peget på konkrete forbedringer: stærkere adgangskontrol, regelmæssig træning af nøglepersoner og systematiske stresstests. Alligevel er flere ministerier fortsat uforberedte, og ansvaret synes at flyde mellem it-afdelinger, departementer og politiske direktiver.Statsrevisorerne, der er nedsat af Folketinget som parlamentets kontrolorgan, har indtil nu anonymiseret kritikken. Ifølge kilder nær arbejdet har de håbet på frivillig efterlevelse frem for offentlig skam. Men nu er tiden inde til at rykke ud af skyggerne: Politikere og embedsmænd skal stå til regnskab.Den forestående frist til februar markerer et opgør mellem gentagne advarsler og konkret handling. Herefter vil statsrevisorerne offentliggøre navne på de ministerier, der stadig ikke kan dokumentere et robust it-beredskab en række handlinger, der sigter mod at sikre, at staten kan modstå de trusler, den dagligt udsættes for.
Efter 117. kritik ruller statsrevisorerne alvorligt våben frem mod ministeriernes skrantende it-beredskab Statsrevisorerne har for 117. gang rettet skarp kritik mod en række ministerier og offentlige myndigheder, der fortsat mangler grundlæggende kontrol med deres it-beredskab. Nu varsler kontrolorganet offentliggørelse af de værste syndere, hvis ikke alle huller lukkes senest i februar.Hvert år gennemgår parlamentarikerne systematisk ministeriernes indsats for at beskytte kritisk infrastruktur hospitaler, lufthavne, tele- og strømnet mod it-angreb. Trods gentagne påpegninger ligger langt de fleste institutioner stadig langt under kravene for robusthed og genoprettelsesevne. Ifølge statsrevisorernes seneste beretning er der endnu ikke sikret tilfredsstillende backup-løsninger, opdateringsrutiner eller klar ansvarsfordeling ved sikkerhedsbrud.”Vi kan ikke blive ved med at benytte diplomatiske omskrivninger,” lyder det fra formanden for statsrevisorerne. ”I lyset af de hybride angreb, som både forsyningskæder og myndigheder dagligt udsættes for, må vi have handling ikke flere undskyldninger.”Baggrunden er intensiverede cyberoperationer fra statslige og kriminelle aktører, der systematisk kortlægger og angriber vestlige samfunds kritiske systemer. Efterretningstjenester advarer om, at selv mindre sårbarheder kan blive springbræt til omfattende nedlukninger af sundhedsvæsen eller transport.Samarbejdet med forsvars- og efterretningskilder bekræfter et stigende pres på bolværket, men ifølge beretningen møder statsrevisorerne fortsat tøven og mangel på klar handlingsplan hos flere ministerier. Hidtil er ansvarsområderne blevet anonymiseret i rapporterne angiveligt for ikke at signalere svaghed over for fjendtligt sindede. Nu skærpes tonen.Første varsel er afsendt til samtlige involverede institutioner med et ultimatum om at rette op på sikkerhedsstrategier, gennemføre øvelser og etablere uafhængige revisionsspor. Overskrider ministerierne fristen, offentliggør kontrolorganet navnene på de efterladte.Revisorernes optræden understreger et centralt demokratisk princip: parlamentarisk kontrol over forvaltningens evne til at beskytte borgernes livsvigtige tjenester. Også fra oppositionens side lyder opbakning til, at statsrevisorerne må have gennemslagskraft.Med fristen i februar venter en formidabel indsats hos de udpegede ministerier. Ellers kan de se frem til at stå skarpt fremhævet i en beretning, der både bliver læst af beslutningstagere, medier og potentielle angribere. For statsrevisorerne er der ikke længere tale om bløde formaninger, men om at stille offentligt ansvarlige til regnskab.