Cybertruslen stiger: Region Syd lukker for ansattes adgang til privat software

10. november 2020 kl. 03:459
Et billede fra Odense
Illustration: Kåre Thor Olsen via Wikipedia.
Rigsrevisionen kritiserede tilbage i 2017 Region Syddanmark for manglende it-sikkerhed - blandt andet ved at være meget generøs med administratorrettighederne. Nu har regionen, tre år efter, lukket for medarbejdernes adgang til at installere programmer til privat brug på regionens pc'er.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Tidligere har Region Syddanmark oplyst til Version2, at man lukkede de lokale administrationsrettigheder d. 1. oktober 2020. Efterfølgende har Nicolai Arvedsen kontaktet Version2 med denne rettelse:

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
9 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
7. december 2020 kl. 21:36

Nu er der også noghet med at medicinsk udstyr kun er godkendt med bestemte patches på et given OS build, og hvis man patcher eller lægger GPO'er på dem, så er de principielt ikke længere certificeret efter medico branchens standarder. Her burde man så ændre, og i stedet kassere alt det der ikke kan patches uden at ophøre med at virke korrekt

Første del af dette statement er korrekt. Anden del er dog langt mere problematisk end det umiddelbart lyder til. I praksis er det ret sjældent at man ved hvad en 3. parts software opdatering i realiteten indeholder. Har man således noget medicinsk udstyr der er baseret på f.eks. en Windows platform som ukritisk opdateres efter hver patch Tuesday er risikoen at noget pludselig ikke virker efter hensigten længere eller at applikationen crash'er uforudsigeligt. Eneste vej ud af denne situation er at teste produktet hvergang forud for opdateringen. Det er både dyrt og tidskrævende, for slet ikke at tale om problemet med hvem der skal betale for det. Internationalt synes der efterhånden at være enighed blandt myndighederne om at det er et fælles ansvar imellem producenterne og aftagerne af udstyret, men i praksis er der masser af eksempler på næsten grotesk sårbare it løsninger i drift som udspringer af denne problemstilling - desværre.

8
14. november 2020 kl. 09:20

Set med ikke it-specialist øjne og egne erfaringer:

den lokale afdeling har udover gængse programmer til alle på arbejdspladsen måske behov for 10-20 fagspecifikke programmer, hvoraf nogle er direkte lovbefalede og/eller helt nødvendige for at man kan udføre sit arbejde. 50 skal have program a, 25 program b, 10 program c osv., i forskellige kombinationer.

Bestilling, udrulling og opdateringer foretages naturligt nok helt eller delvist løbende af lokalafdelingens egne it-folk, der har særligt store it-interesser og -viden samt fagspecifik viden fra de lokale tems. Men ikke nødvendigvist med en formel videregående uddannelse inden for it/ it-sikkerhed. Cheferne er oftest ikke it-kyndige, flertallet af disse ved således ikke med sikkerhed, hvad deres egne it-folk kan og ikke kan. Og den centrale afdeling er måske, som en nævnte, i lange perioder underbemandet og/eller under strukturudvikling, omflytninger osv.

Man kunne måske(?) tidligere have nået længere mht. decentral sikkerhed, hvis de lokale chefer havde fået højkvalificeret it-rådgivning mht. basal sikkerhed og organisation, altså forstå deres egen lokale it-situation, evt. via dygtige, kritiske folk, om nødvendigt hyret ind udefra. Det ville sikkert have kostet kassen i timeløn, men kunne være givet godt ud(?). Dette forudsætter så at den lokale leder selv tænker disse tanker, eller slår lyttelapperne ud, når gamle brokrøve foreslog noget i den retning :-)

7
12. november 2020 kl. 13:48

Permanent Lokaladmin på primært bruger er helt ude i skoven. Såfremt nogle har brug for det, så bør det enten være noget tidsbegrænset elevering, eller en sekundær bruger der kan anvendes til noget RunAs.

Det optimale er så, hvis det kan kombineres med andet, f.eks. en authenticating proxy der gør at eleverede brugere IKKE har internet adgang. Så må man bruge offload installers, eller lave undtagelser i proxy/firewall.

Når alt dette er sagt, så bør Domain Admins/Enterprise Admins også begrænses til KUN at kunne logge på Domian Controllers, og de bør være beskyttet så al unødvendig adgang (RDP og andet management etc) kun kan ske fra jump/management servere.

Rigtigt meget IT Sikkerhed er ikke køb af kasser med blinkende LED'er, men ændrede processer og arbejdsgange. De kan være svære at implementere, men det betyder sjældent meget i praksis når medarbejderne har vænnet sig til det.

Software kataloget er også en ændret tilgang til tingene, men i mange tilfælde er det nok den letteste måde for medarbejderen, og måske den hurtigste.

Nu er der også noghet med at medicinsk udstyr kun er godkendt med bestemte patches på et given OS build, og hvis man patcher eller lægger GPO'er på dem, så er de principielt ikke længere certificeret efter medico branchens standarder. Her burde man så ændre, og i stedet kassere alt det der ikke kan patches uden at ophøre med at virke korrekt

6
11. november 2020 kl. 07:46

samtlige større virksomheder jeg har været i som konsulent har haft lukket fuldstændig af for local admin.

de har så haft, som det beskrives i artiklen, et katalog de kunne installere fra, vel at mærke godkendte applikationer.

løsninger som den har eksisteret i mange år, og det fungerer.

Jeg fatter ikke at man har haft potentielt 27K local admins... det er bare en major NO NO.

5
10. november 2020 kl. 13:17

Jeg tror altså ikke den undskyldning holder længere. UAC blev introduceret i Windows økosystemet for lige godt 14 år siden, så hvis det stadig kommer bag på nogen at det eksisterer så har man vist sovet lidt for grundigt på skolebænken.</p>
<p>Hvis jeg skulle trække på erfaringen og give et bud, så er det nok snarere konstante krav fra Bogholderi Bente og Marketing Marie og Sælger Søren omkring at lige præcis deres Komputer skal være en unik snefnug med selvindkøbt software fra leverandør Q, Z og W, der har gjort at en underbemandet IT afdeling har sagt "fuck det hele" og bare gjort alle til lokaladministrator, så de kunne passe deres eget blomsterbed.

På den anden side skal man jo også tænke på hvor længe internet Explorer 6 blev brugt netop fordi der var så mange fagsystemer der var udvikelet til den og ikke virkede med mere moderne og sikrere browsere.

Men du har sikkert også helt ret i at en stor del af det skyldes brugere der kræver XYZ på deres mskine for at de kan arbejde.

Men det skyldes så ofte også at standardløsningerne fra IT-afdelingene i det offentlige ikke kan levere (eller at IT er menget langsomme til at levere) de løsninger som resten af organisatiner mener de har brug for (og det problem kan have rigtig mange forskellige forklaringer, inklusiv brugere der ikke har tid til eller vil bruge tid på at beskrive hvad de egentlig har brug for).

4
10. november 2020 kl. 12:46

Unix-verdenen har traditionelt været meget mere opmærksom på den slags da udviklere ofte ikke selv var admin på det system de arbejdede på og derfor har fået en påmindelse hvis de har brugt systemkald der har krævet root.

Jeg tror altså ikke den undskyldning holder længere. UAC blev introduceret i Windows økosystemet for lige godt 14 år siden, så hvis det stadig kommer bag på nogen at det eksisterer så har man vist sovet lidt for grundigt på skolebænken.

Hvis jeg skulle trække på erfaringen og give et bud, så er det nok snarere konstante krav fra Bogholderi Bente og Marketing Marie og Sælger Søren omkring at lige præcis deres Komputer skal være en unik snefnug med selvindkøbt software fra leverandør Q, Z og W, der har gjort at en underbemandet IT afdeling har sagt "fuck det hele" og bare gjort alle til lokaladministrator, så de kunne passe deres eget blomsterbed.

3
10. november 2020 kl. 11:34

tak til Region Syd for at forbedre sikkerheden , det kunne mange lære af (selvom ting tager tid)

2
10. november 2020 kl. 10:11

27k administratorer ≃ antal ansatte vil jeg tro dvs alle var admin på deres kontorPC lige som stort set alle stæder i det offentlige.....

Og nej den slags er meget ofteikke tænkt ind, og da ofte slet ikke i windows verdenen hvor mange programmer (specielt fag-specifikke programmer) kræver admin for at køre da udviklerne jo var admin på deres egene maskiner og derfor ikke tænkte over det hvis han/hun kom til at bruge et 'admin-only' systemkald.

Unix-verdenen har traditionelt været meget mere opmærksom på den slags da udviklere ofte ikke selv var admin på det system de arbejdede på og derfor har fået en påmindelse hvis de har brugt systemkald der har krævet root.

1
10. november 2020 kl. 08:10

Jeg ved godt der bor mange mennesker i Regionen, men alligevel, 27k administratorer? Det virker som unødvendigt mange.

Det virker ofte som om offentlige IT ssystemer kun har to rettighedsniveauer: administrator og bruger. Det er måske i virkeligheden problemet, at nuancer ikke bliver tænkt ind i designet?