CFCS opdager fejl i phishing-test: Halvt så mange myndigheder som først antaget gik i fælden

24. september 2019 kl. 15:197
CFCS opdager fejl i phishing-test: Halvt så mange myndigheder som først antaget gik i fælden
Illustration: REDPIXEL.PL/Bigstock.
Efter fund af dubletter viser det sig, at det kun er halvt så mange myndigheder som først antaget, der er gået i fingeret phishing-fælde, oplyser Center for Cybersikkerhed.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det var ikke korrekt, da Center For Cybersikkerhed (CFCS) konkluderede, at hver anden modtager blandt omkring 30 danske myndigheder og virksomheder var hoppet i phishing-fælden under en national kriseøvelse tidligere i september.

Det fremgår af et mailsvar fra CFCS’s pressefunktion, efter at Version2 har spurgt ind til flere detaljer i undersøgelsens resultater.

CFCS afholdt en phishing-øvelse i forbindelse med den nationale krisehåndteringsøvelse, som fandt sted i september, og resultaterne blev meldt ud i sidste uge.

Under øvelsen sendte CFCS fingerede phishing-mails ud til en række myndigheder og organisationer, som frivilligt havde meldt sig til øvelsen.

Artiklen fortsætter efter annoncen

Efter øvelsen konkluderede CFCS oprindeligt, at »omkring halvdelen« af de »omtrent 30 myndigheder og virksomheder«, som deltog i øvelsen, havde klikket på phishing-linket, og de var dermed hoppet på limpinden.

Men de resultater viser sig nu at være forkerte.

I en mail til Version2 oplyser CFCS, at man har »revideret succesraten for phishing-forsøgene i nedadgående retning til en succes på lidt over 25 procent mod det tidligere tal på knap 50 procent.«

»I alt 8 organisationer blev dirigeret over på 'malware'-siden,« skriver efterretningstjenestens pressevagt i mailen til Version2.

Dubletter i datamateriale

Årsagen til, at efterretningstjenesten i første omgang meldte forkerte resultater ud, er ifølge presseafdelingen hos CFCS, at der var fejl i datamaterialet fra øvelsen.

Artiklen fortsætter efter annoncen

»Revisionen skyldes, at der var dubletter i det første talsæt,« lyder det i mailen til Version2.

Version2 har også spurgt ind til, hvilke myndigheder og virksomheder der deltog i øvelsen, hvor mange modtagere CFCS havde regnet med ville klikke på linket i øvelsen, og hvad CFCS har opfordret deltagerne til at gøre fremover.

Hertil oplyser CFCS, at de ikke har yderligere kommentarer til phishingøvelsen.

Stadig høj succesrate

Cyber-øvelsen fandt sted i forbindelse med den nationale krisestyringsøvelse ved navn KRISØV, som skal teste, hvordan centrale virksomheder og myndigheder i Danmark bedst muligt formår at holde samfundsvigtige funktioner i gang i nødsituationer.

Dette års kriseøvelse fandt sted den 12. september, hvor en simuleret kemisk togulykke i nærheden af Fredericia var anledning til en øvelse af det nationale beredskab.

Under kriseøvelsen modtog de myndigheder og virksomheder, der frivilligt deltog i CFCS phishing-øvelse, en simpelt konstrueret phishing-mail, der lignede officielle henvendelser med information om den kemiske ulykke.

Øvelses-mailen indeholdt fingeret malware i form af et link til en øvelseshjemmeside, og hvis modtagerne klikkede på linket, blev de ført til en hjemmeside, som fortalte, at de var blevet udsat for et vellykket phishing-angreb.

Ifølge CFCS udnyttede svindel-forsøget ingen tekniske sårbarheder og havde ikke til formål at teste deltagernes tekniske modstandskraft mod phishing-mails.

Artiklen fortsætter efter annoncen

I kølvandet på, at der er blevet fundet fejl i konklusionerne, er den oprindelige pressemeddelelse fra CFCS nu blevet ændret, så den indeholder de rigtige resultater.

Men på trods af den rettede konklusion, påpeger CFCS stadig i pressemeddelelsen, at forsøget har haft en »høj succesrate«.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
25. september 2019 kl. 22:00

Det skal vel trods alt læses som at det er en ydelse beregnet til, at statsministeriet kan få tjekket deres netværk af nogen, der kommer mere i klemme hvis de udbasunerer alle sårbarhederne på Twitter eller i Version2 end diverse cowboys i visse private sikkerhedsfirmaer.

Ja, sådan kan det læses og opfattes, det har du ret i. Og naturligvis giver det mening, at statsministeriet kan få rådgivning og cybersikret statshemmelighederne af CFCS/FE, selvfølgelig gør det det. Ligesom der er ræson i, at tilsvarende gælder for forsvarsministeriet og resten af statsadministrationen, det er klart.

Den nye ydelse er imidlertid bredt funderet. Tilbydes til både private virksomheder og offentlige organisationer.

Realistisk set vil jeg dog formode, at det primært vil være den offentlige sektor, der vil gøre brug af tilbuddet. Dvs. hospitalerne (Regionerne), statsadministrationen, som sagt, med underliggende styrelser heriblandt Nationalt Genom Center, evt. politiet, kommunerne muligvis også, fx.

Og hvorfor det? Jeg kan ikke vide det, men jeg tror, at de fleste private virksomheder vil vægre sig for at invitere Forsvarets Efterretningstjeneste indenfor, ærligt talt. Samt ikke mindst at udsætte sine medarbejdere for at blive hemmeligt overvåget og testet af efterretningstjenesten/CFCS. (Det er jo helt på månen). Det bliver et nej tak. Derfor holder de sig til eksisterende markedsløsninger.

CFCS/FE’s nye ydelse (§ 6a) har 2 sider: Den ene er rettet imod de tekniske aspekter af it-sikkerheden, infrastruktur, mv. Den anden er målrettet medarbejderne (§ 6a, stk. 2, nr. 2 og 3).

For medarbejderdelen gælder, at Forsvarets Efterretningstjeneste/CFCS må overvåge og teste dig, i det skjulte, hvis din chef hyrer dem til det.

Herunder må CFCS/FE indsamle data om dig og fx din familie, børn, fødeby, husdyr (kun fra offentlige kilder, men alligevel) så de kan forsøge at gætte dit password, ligesom de må anvende social engineering, dvs. udgive sig for at være en af dine kolleger, og på den måde kontakte dig via falsk mail. Sende dig phishingmails sådan. Hvis din kollega inddrages skal vedkommende informeres af efterretningstjenesten/CFCS, og de går således – i fællesskab – bag din ryg. Via overvågning skal efterretningstjenesten på den vis lære dig bedre at kende, så de kan prøve at snyde dig, lokke dig til at gå i en cybersikkerhedsfælde. (Se side 36-37, linket i tidligere kommentar ^^). Alt sammen på en almindelig arbejdsdag, uden at du ved det. Dine oplysninger lagres i en database hos efterretningstjenesten/CFCS, og der kommer en anonymiseret rapport til din chef efterfølgende.

^^ Dette hører, i mine øjne, ingen steder hjemme.

Uanset hvor man arbejder, skal man ikke være i risiko for ovenstående.Ingen medarbejdere, på arbejdspladser i Danmark, skal hemmeligt overvåges eller testes af efterretningstjenesten.Det hører ikke hjemme i et demokrati, i en retsstat.Civilbefolkningen skal ikke overvåges af efterretningstjenesten i fredstid. Det er helt sort. (Og det uagtet § 17, stk. 6, samt at det er frivilligt/valgfrit for kunden (din chef, fx) om den medarbejderrettede del skal indgå i sikkerhedsundersøgelsen). Det er kun noget, man gør i bananrepublikker. Så paragraffen bør slettes. Den er ikke en retsstat værdig.

Der findes også alternativer. Den regionale it-afdeling kan teste medarbejderne på hospitalerne, fx. Det behøver man ikke en efterretningstjeneste til.

6
25. september 2019 kl. 17:55

Forsvarets Efterretningstjeneste er, med deres nye ydelse, ude at konkurrere på markedsvilkår, på linje med de private udbydere i branchen.
CFCS/FE skal, så at sige, sørge for, at ”få kunder i butikken”, akkurat som det gælder for private virksomheder.

Nu står der så også i bemærkningerne til lovforslaget:

"Det bemærkes, at private virksomheder i dag udbyder sikkerhedstekniske undersøgelser. Der er således ikke tale om et nyt sikkerhedsteknisk redskab. Flere offentlige myndigheder, herunder på Forsvarsministeriets område, ønsker imidlertid ikke at benytte private firmaer til at foretage sikkerhedstekniske undersøgelser, fordi myndighederne behandler sensitive oplysninger, herunder klassificerede oplysninger, som den private virksomhed vil kunne komme i besiddelse af som led i en undersøgelse. Der vil således med forslaget ikke ske en negativ påvirkning af det private marked for it-sikkerhedsydelser."

Det skal vel trods alt læses som at det er en ydelse beregnet til, at statsministeriet kan få tjekket deres netværk af nogen, der kommer mere i klemme hvis de udbasunerer alle sårbarhederne på Twitter eller i Version2 end diverse cowboys i visse private sikkerhedsfirmaer.

Eller også er det bare fordi det tager PET så lang tid at sikkerhedsgodkende folk, at det er umuligt for private firmaer at stille med konsulenter, der må rode i hemmelige systemer.

5
25. september 2019 kl. 12:00

Der er også et andet problem i dette her:

Med loven L 215, som trådte i kraft 1. juli i år, har CFCS/FE fået nye, ekstra arbejdsopgaver.

Den offentlige myndighed er nu udbyder af en ny ydelse, som erit-sikkerhedsteknisk rådgivning samt test af cybersikkerhed og medarbejdere, til alle interesserede, i både den offentlige og private sektor.
Sagt på erhvervssprog: CFCS/FE skal tilfredsstille behovet for it- og cybersikkerhed hos ovennævnte interessenter.

”Forebyggende sikkerhedstekniske undersøgelser”, § 6a:https://www.ft.dk/samling/20181/lovforslag/l215/20181_l215_som_vedtaget.htmhttps://www.ft.dk/samling/20181/lovforslag/L215/index.htmSe specifik beskrivelse, der også inkluderer hemmelig test af medarbejdere via phishingmails, i lovens bemærkninger, side 35-37, her:https://www.ft.dk/ripdf/samling/20181/lovforslag/l215/20181_l215_som_fremsat.pdf

CFCS/FE er, med andre ord, udbydere af en ydelse, som tilfældigvis imødekommer det problem, som de selv har testet for og skitserer i pressemeddelelsen ^^. Nemlig at der er et behov for at højne it- og cybersikkerheden.

Forsvarets Efterretningstjeneste er, med deres nye ydelse, ude at konkurrere på markedsvilkår, på linje med de private udbydere i branchen. CFCS/FE skal, så at sige, sørge for, at ”få kunder i butikken”, akkurat som det gælder for private virksomheder. Hvordan kan man få det?

Kunderne kommer ikke af sig selv. De ved heller ikke, at man tilbyder det givne produkt/ydelse. Derfor kan man:

  1. Gøre opmærksom på produktet/ydelsen = reklamere.
  2. Synliggøre behovet.

Derfor synes jeg, at det bliver svært at skelne og hitte rede i, hvad der er oplysning og hvad, der er reklame fra CFCS/FE.
Ligesom det bliver svært, ikke at se den seneste tids fremstød fra myndigheden, som et led i denne bestræbelse – et forsøg på at hverve kunder i butikken.

Eksempler: Dette gælder den kommende ”Cybersikkerhedsmåned”, som afholdes i oktober. 26.08.19: https://www.version2.dk/artikel/danskerne-skal-rustes-mod-cyberangreb-med-temamaaned-digitaliseringsstyrelsen-cfcs-1088783Det er rettet imod målgruppen, og her får CFCS/FE rig lejlighed til at skaffe kunder i butikken og gøre opmærksom på deres nye ydelser, heriblandt også at få virksomheder og myndigheder, med kritisk infrastruktur, til frivilligt at tilslutte sig Netsikkerhedstjenesten (også del af L 215). (Cybersikkerhedsmåneden opfylder, på bedste måde, både pkt. 1 og 2 ovenfor).

Chefen for FE synliggør behovet (pkt. 2) for it- og cybersikkerhed ifm. kritisk infrastruktur (også L 215) her: 15.09.19: https://politiken.dk/indland/art7386490/Der-er-ekstra-meget-gang-i-verden-i-%C3%B8jeblikket

Men det nye er, at det også i stigende grad handler om flere angreb mod kritisk infrastruktur, som omfatter den finansielle sektor, sundhedsvæsenet og forsyning af rent vand og energi.

^^ Som eksempler.

Med dette nye formål, som CFCS/FE har fået – at de skal udbyde it- og cybersikkerhedsydelser til den offentlige og private sektor – er det blevet svært at skelne deres tiltag og udmeldinger fra reklame.Jeg kommer i tvivl om, jeg kan stole på chefens udsagn, eller det blot er et led i at skaffe kunder i butikken. Det, synes jeg, er problematisk.Det påvirker myndighedens troværdighed og uvildighed, at de skal agere som en privat virksomhed.Der opstår forvirring om myndighedens formål og intentioner.

Også derfor er denne (regne)fejl ^^ ekstra ærgerlig, fordi man kan blive beskyldt for vildledning eller manipulation. For at puste et behov kunstigt op, for egen vindings skyld. (Og ingen kan, som bekendt, tjekke det efter).

Man skal stadig huske på, at her er tale om en hemmelig efterretningstjeneste. En skattefinansieret, offentlig myndighed.

4
25. september 2019 kl. 09:52

Kort kan man sige, at det svækker en myndigheds troværdighed, hvis der ikke er orden i tingene.

Vi kan alle sammen lave fejl. Men man kan måske indvende, at deltagerantallet på 30, i dette tilfælde, er en relativ overskuelig mængde, hvoraf delmængden, som gik i phishingfælden, vil kunne tælles efter på fingrene og være relativt enkelt at føre regnskab med på et ark papir. Ellers har et regneark, som fx Excel, mange nyttige, indbyggede funktioner. Fx simpel, automatiseret sortering, alfabetisk eller efter deltagernummer, således problemet med dubletter nemt afhjælpes. (Men måske er programmet for usikkert at bruge i forsvaret, måske har de udviklet deres eget, som ikke indeholder hjælpefunktioner, som disse?)

Det kan svække troværdigheden, når en myndigheds fejl først afdækkes og korrigeres, i det tilfælde, som nu, at journalister spørger ind til emnet.

A) CFCS/Forsvarets Efterretningstjeneste er en offentlig myndighed, der bærer et meget stort, samfundsmæssigt ansvar. Efterretningstjenesten har samtidig vid adgang til informationer, kan kigge borgere og civilsamfund i kortene, så at sige. B) Samtidig er det en meget lukket myndighed.

Der er, mig bekendt, ikke mulighed for offentlig indsigt, aktindsigt i myndighedens arbejde. TET fører tilsyn en gang årligt og afgiver rapport, men der er generelt ingen offentlig transparens eller mulighed for at kigge myndigheden selv i kortene, som det gælder for den øvrige, offentlige forvaltning. På dette grundlag er det – reelt og praktisk set – muligt at fremsætte påstande, der ikke er dokumentation for, fordi offentligheden ikke kan tjekke det efter. Det er et stort ansvar.

Netop disse 2 forhold i forening, vil jeg mene, stiller ekstra krav til saglig- og redeligheden. At der er orden i tingene. Ellers devaluerer det tilliden til myndigheden samt dens troværdighed.

3
24. september 2019 kl. 19:40

Så længe man bruger et Usikkert OS som Windows

Så behøves man slet ikke at klikke.

Barer browser åbner i en gamel historik

Så længe at "normale" bruger kan tilgå eller har administrativ adgang så bliver det aldrig sikkert.

Bare et af de "nye" huller, om man så øver, uddanner eller hvad man nu gør, herfra til man bliver angribet.

https://www.version2.dk/artikel/angribere-har-udnyttet-kritisk-zeroday-hul-internet-explorer-1089019

Så svarer brug af Micosoft Windows, stadig til at man møder op med burer og pil i en atomkrig.

Udover alle de andre iritrende småting, man dagligt græmes over.

https://www.youtube.com/watch?v=BDxDtHrBM8c

1
24. september 2019 kl. 15:28

...st selv om 25% er væsentligt bedre end 50% så ville det først være godt hvis det var 2,5%.