Det er let at pege fingre. Det er sværere at løse det.
Rigsrevisionen fandt 11.616 stykker IT-udstyr med kendte huller hos staten. Og du kender problemet.
Patches var tilgængelige. Det blev ikke gjort.
Udstyret sidder hos alle 23 ministerier. Ifølge producenterne har det kritiske sårbarheder. Og 91% af det kunne opdateres. Patches var allerede tilgængelige.
Hvorfor blev det så ikke gjort?
Fordi virkeligheden er indviklet.
Alle venter på hinanden
Statens IT kan ikke opdatere infrastrukturen, før myndighederne har opgraderet de fagsystemer, der kører på den. Og myndighederne kan ikke opgradere fagsystemerne uden budget, tid og ressourcer til det.
Resultatet er en cirkulær afhængighed, hvor alle venter på hinanden, mens sårbarhederne består.
Det er ikke et offentligt problem. Det er et organisatorisk problem.
Du kender mekanikken
Enhver virksomhed med systemer, der er mere end fem år gamle, kender mekanikken.
ERP-systemet, der kun kører på en bestemt serverversion. Produktionslinjen, der afhænger af software, som leverandøren ikke længere opdaterer. Bogføringssystemet, der bryder sammen, hvis operativsystemet skifter.
Det er den samme cirkulære afhængighed. Og den samme risiko.
Tallene er alarmerende
Ifølge Dansk IT og Rambøll har 57% af alle offentlige instanser inden for det seneste år været ramt af cyberangreb, der påvirkede driften. Kun 5% efterlever fuldt NIS2-kravene. Og SAMSIK vurderer truslen fra cyberkriminalitet og cyberspionage mod Danmark som meget høj.
Internationalt viser Verizons DBIR 2025, at udnyttelse af kendte sårbarheder nu er indgangsvektor i hvert femte databrud. Kun 54% af sårbarheder i netværksudstyr bliver nogensinde fuldt patchet.
Angribere udnytter dem inden for fem dage i gennemsnit. Organisationer bruger 32 dage på at lukke dem.
Det gab er der, hvor angrebet sker.
Selv Forsvaret har udfordringer
I den samme periode rettede Statsrevisorerne deres skarpeste kritik nogensinde mod Forsvarsministeriets IT-sikkerhed. Indholdet er fortroligt.
Men signalet er tydeligt: Selv på de mest følsomme områder er der udfordringer med at holde sikkerheden opdateret.
Problemet eksisterer i de fleste organisationer
Pointen er ikke, at staten gør det dårligt. Pointen er, at det problem, Rigsrevisionen dokumenterer, eksisterer i de fleste organisationer.
Og det kræver, at nogen stiller de rigtige spørgsmål.
Fem ting du bør gøre nu
Kortlæg jeres afhængigheder. Hvilke systemer kører på infrastruktur, der ikke kan opdateres? Og hvem har ansvaret for at ændre det? Hvis ingen ved det, er det første opgave.
Stil spørgsmålet til jeres leverandører. Hvornår blev jeres netværksudstyr sidst opdateret? Er der komponenter, der har passeret End of Life? Jeres leverandørs tekniske gæld kan blive jeres sikkerhedsproblem.
Test jeres beredskabsplan mod præcis det scenarie. Hvad sker der, hvis en kendt sårbarhed i jeres infrastruktur udnyttes i morgen? Kan I isolere skaden? Hvis I ikke har testet det, ved I det ikke.
Kræv dokumentation. Bed jeres IT-leverandør om en opdateret liste over alt udstyr og software med kendte sårbarheder. Hvis listen ikke findes, er det i sig selv et svar.
Sæt en deadline. Kendte sårbarheder uden tidsplan for håndtering er accepteret risiko. Sørg for, at nogen har taget beslutningen bevidst, ikke bare udskudt den.
Få et uafhængigt blik på jeres infrastruktur
En teknisk sikkerhedsgennemgang kortlægger, hvilke sårbarheder der findes i jeres infrastruktur, og hvilke afhængigheder der forhindrer jer i at lukke dem.
Et leverandøraudit afslører, om jeres leverandører har den samme cirkulære afhængighed, der rammer staten.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition. Ikke af jeres IT-leverandør, som har en interesse i at sige, at alt er fint, men af en uafhængig specialist, der tør sige tingene, som de er.
Rigsrevisionen fandt 11.616 stykker sårbart udstyr hos staten. Hvor mange ville de finde hos jer?
Har du brug for at vide, hvad der gemmer sig i jeres infrastruktur? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
