Prøv avisen

Kirkeministeriet får hård medfart for mangelfuld it-sikkerhed

De seneste problemer i Kirkeministeriets it-afdeling giver anledning til selvransagelse. Det vurderer professor Kim Normann Andersen, der forsker i it-styring ved Copenhagen Business School, CBS. Særligt er det uheldigt at anbefale et usikkert program som Dropbox. Foto: BENJAMIN NØRSKOV

Sogne får fri adgang til personfølsomme oplysninger, som de ikke burde kunne se, mens præster bliver henvist til usikre it-programmer af Kirkeministeriet. Ministeriet får nu kritik af eksperter og fagfolk for at tage for løst på it-sikkerheden

I sommeren 2016 kom det frem, at 68 millioner brugeres adgangskoder var blevet hacket fra den populære tjeneste Dropbox, som mange bruger til at opbevare og dele dokumenter. Som konsekvens blev millioner af oplysninger lækket til offentligheden. Præcis dette program er nu anledning til, at flere eksperter og en sognepræst kritiserer Kirkeministeriet for slap omgang med it-sikkerheden. For ministeriet henviser netop folkekirkens ansatte til at bruge Dropbox.

Dette eksempel er blot et af flere, og Christian Roar Pedersen, sognepræst og mediekonsulent i Aalborg Stift, har efterhånden fået nok af it-kulturen i Kirkeministeriet.

”Det er mange bække små, der peger på, at der ikke er styr på it-sikkerheden,” siger han.

Opfordringen til at bruge Dropbox og det lignende program iCloud er i virkeligheden bare dråberne, der har fået præstens bæger til at flyde over. I september 2016 fik han pludselig uretmæssig adgang til adgangskoder til en hel masse sognes mailkommunikation. Og i 2014 fik han ligeledes ved en fejl adgang til ansættelseskontrakter og andre personfølsomme oplysninger i Ribe Stift. Kristeligt Dagblad har set dokumentation for begge dele.

Dertil kommer det omfattende nedbrud i Kirkeministeriets mail-system i december, som betød, at tusindvis af præsters mails blev slettet.

”Jeg har været nødt til at lave den regel for mig selv, at jeg ikke vil have eksempelvis begravelsestaler liggende på Kirkeministeriets netværksdrev, fordi der simpelthen ikke er styr på sikkerheden. Der bliver ved med at komme sager, hvor man undrer sig over, hvad der sker. Eksemplet med adgangen til samtlige sognes adgangskoder er jo i sig selv en ret alvorlig ting, fordi jeg i princippet kan se prøveprædikener og andre ting, der ikke er beregnet for mine øjne,” siger Christian Roar Pedersen.

Virksomheden Deloitte rådgiver en række af landets største organisationer og stiller sig også skeptisk over for opfodringen til at bruge Dropbox og iCloud.

”Når der er tale om institutioner i den størrelse, som Kirkeministeriet befinder sig i, anbefaler vi ikke brugen af medier af den type. Hvis man gør det, er det utrolig vigtigt, at der er styr på aftaler, sikkerhed og data, men alligevel kan det være svært med den type løsninger. Så umiddelbart vil jeg sige, at det på nuværende tidspunkt ikke er en farbar løsning. Derfor rådgiver vi også vores kunder til at have styr på de sikkerhedsforanstaltninger, der skal til, hvis man beslutter at bruge det i organisationen. Og når der er tale om personfølsomme data, vil jeg slet ikke anbefale det uden at have fuldstændig styr på, hvor data kommer fra, hvor de ender, og hvad de bruges til,” siger Kim Schlyter, der er partner i Deloitte og rådgiver om it- sikkerhed.

De seneste problemer i Kirkeministeriets it-afdeling giver anledning til selvransagelse. Det vurderer professor Kim Normann Andersen, der forsker i it-styring ved Copenhagen Business School, CBS. Særligt er det uheldigt at anbefale et usikkert program som Dropbox.

”Det er ikke acceptabelt, og det kunne tyde på, at der var nogle systemer, der skulle kigges efter i sømmene. Men det er ikke et isoleret problem hos Kirkeministeriet. Der er også i kommunerne eksempler på dårlig forvaltning af it-sikkerheden, og det er en kompleks størrelse. Det undskylder ikke problemerne, men det siger noget om, at der både er tekniske udfordringer og også ligger et ansvar hos de enkelte brugere af systemerne. I sidste ende handler det om, hvorvidt der har været nogle umiddelbare konsekvenser af sikkerhedsbristerne, men det er selvfølgelig grundlæggende ikke i orden, at man åbner for, at systemet kan misbruges,” siger Kim Normann Andersen.

Kristeligt Dagblad har ikke kunnet få en kommentar fra kontorchef i Folkekirkens IT Torben Stærgård.