De offentlige myndigheder er under pres. Over halvdelen (57%) af alle offentlige instanser har indenfor det seneste år været ramt af cyberangreb, der direkte har påvirket den daglige drift og dermed myndighedernes evne til at løse deres opgaver.
Samtidig viser flere analyser og rapporter, at cybersikkerheden i det offentlige halter alvorligt bagefter, mens cybertruslen er historisk høj.
Masser af kritiske sårbarheder men ingen opdateringer
Senest har myndighedernes egen vagthund, Rigsrevisionen, udtalt en skarp kritik af Statens It.
Rigsrevisorerne gennemgik 11.616 stykker netværksudstyr, der håndteres af Statens It. Stort set alt udstyr havde ifølge producenterne kritiske sårbarheder, og er bredt fordelt hos alle 23 ministerier.
De konstaterede også, at det rent faktisk var muligt at sikkerhedsopdatere 91% af netværksudstyret, da der allerede var frigivet nye opdateringer. For de sidste 9% af udstyret frigiver producenterne ikke længere opdateringer.
Med andre ord kunne Statens It have fjernet de kritiske sårbarheder for størstedelen af udstyret blot ved at opdatere det.
Statens It oplyste dog til rigsrevisorerne, at de har accepteret de risici, som manglende opdatering af netværksudstyr indebærer. De vurderer nemlig, at risikoen for angreb er lav, og at konsekvensen ved et angreb er lille.
En konklusion Rigsrevisionen langt fra er enig i, og hvor de som et usædvanligt skridt så sig nødsaget til at true med offentligt at sætte navn på de ministerier, som ikke har styr på deres it-sikkerhed, hvis der ikke var kommet styr på tingene senest i februar.
Under gennemgangen kunne man også konstatere, at netværksudstyret flere steder var registreret i et så begrænset omfang, at myndighedernes netværk reelt ikke kunne fungere alene med det registrerede netværksudstyr.
Alligevel har Statens It valgt ikke løbende at få et overblik over deres systemlandskab, lave dækkende risikovurderinger eller at implementere de sikkerhedsopdateringer, som producenterne stiller til rådighed.
I stedet har Statens It prioriteret et moderniseringsprogram af de lokale netværk, der blev igangsat i 2025 og først forventes fuldt implementeret i 2032, hvilket betyder, at kendte sårbarheder risikerer at bestå i en årrække.
– Den manglende sikkerhed er et kæmpe problem. Hvis en hacker får adgang til de lokale netværk, kan driften forstyrres, data stjæles og adgangen kan bruges som bagdør til Statens It’s centrale netværk med følsomme oplysninger om borgere, virksomheder og staten selv, siger Troels Johansen, chefkonsulent i IT-Branchen med ansvar for cybersikkerhed.
Et offentligt Danmark har brug for robust cybersikkerhed
Når 57% af de offentlige myndigheder allerede har oplevet cyberangreb, der har skabt reelle driftsforstyrrelser, er robust cybersikkerhed ikke længere et teoretisk krav, men en forudsætning for, at staten kan fungere.
Det er et stort samfundsmæssigt problem, når det offentlige ikke har styr på cybersikkerheden, fordi svagheder ét sted kan udnyttes som indgang til kritisk infrastruktur, følsomme persondata og vitale samfundsfunktioner.
Når it-systemer går ned, eller netværk kompromitteres, rammer det ikke kun den enkelte myndighed. Det påvirker borgernes tillid, virksomhedernes samarbejde med det offentlige og samfundets samlede robusthed.
– Det er farligt, hvis det offentlige ikke har styr på cybersikkerheden. Især når truslen ikke er hypotetisk, men allerede har ramt så mange myndigheder med mærkbare konsekvenser for driften. Politiske beslutningstagere, offentlige ledere og it-ansvarlige bør derfor prioritere cybersikkerheden markant højere – ikke frem mod 2032, men nu, slår Troels Johansen fast.
Anbefalingen fra IT-Branchen er derfor klar: Cybersikkerhed skal prioriteres som en kritisk ledelses- og samfundsopgave, ikke som et langsigtet moderniseringsprojekt, der kan udskydes.
