Efter skarp it-sikkerhedskritik af Region Syd: Nu skal download af programmer godkendes

Efter kritik fra Rigsrevisionen af mangelfuld styring af, hvem og hvor mange der har priviligerede rettigheder til download af programmer, vil Region Syd nu stramme op.

Digitaliseringsudvalget i Region Syddanmark vil gerne indføre en whitelist, som indebærer, at de ansatte skal have godkendt alle programmer, de vil installere på deres arbejdscomputer. Det skriver fyens.dk.

Målet er at mindske sårbarheden ved cyberangreb.

Hidtil har de ansatte kunnet downloade alle programmer, der ikke står på en såkaldt blacklist - altså forbudte programmer. Problemet er at de cyberkriminelle i værste fald kan få adgang til patientdata, og derfor er man parat til at vende bøtten ved at indføre aktiv godkendelse, inden programmer kan anvendes.

Med andre ord er ledelsen parat til at vægte sikkerheden højere i forhold til den enkelte ansattes adgang til at installere, hvad man har lyst til, lyder det.

Tiltaget er kommet, efter at Rigsrevisionen i november konkluderede, at regionens it-sikkerhed var for dårlig.

Version2 beskrev dengang, hvordan samtlige 27.000 medarbejdere i Region Syddanmark havde lokaladministratorrettigheder, dvs. særlige rettigheder og dermed fuld adgang til og kontrol med it-systemerne.

Statsrevisorerne omtalte styringen af admin-rettigheder som 'særlig kritisk':

»Hermed udsætter regionen sig for en markant øget risiko for, at medarbejdere – bevidst eller ubevidst – installerer og afvikler skadelige programmer på deres computere, som kan sprede sig og kompromittere regionens netværk,« skrev Rigsrevisionen.

Læs også: Rigsrevisionen: Markant hacker-risiko i Region Syd med admin-rettigheder til 27.000 ansatte

Forsikring om bedre it-sikkerhed

It-direktør Morten Lundgaard Hansen, Region Syddanmark, forsikrer, at regionen har arbejdet målrettet for at få rettet op på sikkerheden.

Han ser whitelisting som en af mulighederne:

»Vi har været vant til at blackliste en række programmer for medarbejderne, som man ikke må få lov at arbejde med. Og så har vi haft en meget aktiv overvågning. Nu er vi blevet spurgt til, om vi ikke kan vende det om, så vi i stedet whitelister. Altså, peger på de programmer, som man rent faktisk må bruge. Det er en idé, som vi naturligvis har taget op og kigger på,« siger it-direktøren til fyens.dk.

Forslaget skal nu behandles politisk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

...fratage folk lokal admin rettigheden så de ikke KAN installere noget ?
Der findes udmærkede løsninger på remote udrulning af applikationer fra et repository så det vil ikke være det helt store problem.

Behandles politisk ??? Jeg forstår ikke helt hvordan og hvorfor IT tekniske tiltag skal drøftes af folk som ikke har forstand på IT...

  • 10
  • 3
Robert Winther

...fratage folk lokal admin rettigheden så de ikke KAN installere noget ?
Der findes udmærkede løsninger på remote udrulning af applikationer fra et repository så det vil ikke være det helt store problem.

Nej, ikke teknisk, men nu forudsætter du så at applikationen allerede findes i repository.

Hvis den ikke er det, så skal du først forklare hvorfor det er relevant at få program X installeret, vente på at dit behov bliver vurderet og godkendt, vente på at en installations-pakke til Program X bliver udviklet og kommer på plads i repository.

Har du først en gang siddet med et akut, reelt behov for at installere et program kun for at løbe ind i ovenstående, så vil du nok revurdere din vurdering af, at det ikke kan være det helt store problem.

  • 6
  • 6
Martin Rasmussen

Jeg mener, at det netop er tiltag som disse, der skal til, hvis Danmark skal blive mere modstandsdygtigt på IT Sikkerheden.
Det er en evig kamp om, hvad der er lettest for brugeren og hvad der er mest sikkert.
Syntes det er fedt at de tager skeen i den anden hånd og gør det "rigtige". Så må brugerne rette ind.
Og mon ikke der udvikles nogle processer til at få applikations-godkendelsen hurtigt fra A til B?

  • 11
  • 1
Robert Winther

Syntes det er fedt at de tager skeen i den anden hånd og gør det "rigtige". Så må brugerne rette ind.
Og mon ikke der udvikles nogle processer til at få applikations-godkendelsen hurtigt fra A til B?

Det er jeg ikke uenig i, min kommentar gik alene på at der skal mere til end bare 'der findes en teknisk løsning'.

Der skal også være de penge og ressourcer der er nødvendige for at overgangen til et mere sikkert system ikke bliver dræbende for dem der skal leve og arbejde med det.

Det kræver politisk (be-)handling, og ikke bare teknik.

  • 8
  • 0
Mads Bendixen

...fratage folk lokal admin rettigheden så de ikke KAN installere noget ?


Det er ikke helt så simpelt. Nogle applikationer kører fint i brugerens non-admin kontekst, de installeres i brugerens personlige folder.
Eksemplerne er Dropbox m.fl.

Angående applikation whitelist. Om det bliver en succes, afhænger i høj grad af hvor hurtig godkendelsesprocessen er. Er den for lang (og derved besværlig), finder brugerne veje udenom.

  • 3
  • 0
Povl H. Pedersen

Ja, der er ingen der tør tage en beslutning der rammer brugerne. Derfor sendes den op i hierarkiet til der ikke længere er den nødvendige viden til at forholde sig til det.

Man burde få politikerne til at sige, at man skal følge vejledningerne fra staten, og så lade de tekniske implementeringer ligge hvor de hører hjemme.

At sende en enkeltstående teknisk problemstilling til ledelsen, der ikke har teknisk indsigt til at forholde sig til den, og ikke hører fra utilfredse ansatte, er ansvarsforflygtelse, fordi man ved at det bliver en ubehagelig beslutning.

Så få en overordnet accept blandt politikerne om at følge standarder og best practice, og overlad de svære beslutninger til manden der bliver betalt for det.

Men der skal buy-in til at ville IT Sikkerhed fra politikerne, som er den øverste ledelse.

  • 4
  • 0
Thomas Hedberg

Ja, der er ingen der tør tage en beslutning der rammer brugerne. Derfor sendes den op i hierarkiet til der ikke længere er den nødvendige viden til at forholde sig til det.

Man er naturligvis nød til at forklare ledelsen risikoen, eventuelle tiltag og konsekvensen af de tiltag samt alternativet ved ikke at gøre noget.

Det er slet ikke nødvendigt at bruge svære fagudtryk for at forklare faren ved at alle kan køre ikke-godkendt software og hvad konsekvensen er ved f.eks. whitelisting.

  • 5
  • 0
Jesper Hansen

Har du først en gang siddet med et akut, reelt behov for at installere et program kun for at løbe ind i ovenstående, så vil du nok revurdere din vurdering af, at det ikke kan være det helt store problem.

Og når der så sniger sig vira, malware og cryptolockers ind, så står man med et helt andet og meget større problem.

Har du først en gang siddet i den situation, så ville du ønske at du havde haft mere styr på din sikkerhed. Så må man istedet udarbejde processer der kan gøre godkendelsen hurtig, og i "akutte" (hvad er akut?) tilfælde kunne lave en brug og smid væk VM til formålet.

  • 1
  • 1
Jan Heisterberg

Vi taler her om Region Syd, som kan beskrives som en "sundhedsfabrik".
Hvordan kan en normal medarbejder få akut behov for en ny app ?

Hvis det var et forskningsmiljø, som måske også findes i regionen, så kunne det komme på tale.....
Men de almindelige medarbejdere - uanset arbejdsområde ?

Det er jo ikke en legeplads for kreative, nyskabende, mennesker - det er en fabrik med et højt repetitionsniveau.

  • 2
  • 0
Jan Heisterberg

Mange apps, herunder DropBox, er opfundet af kreative mennesker, som har løst et praktisk problem. Hvis dette problem er stort og generelt, så bliver app'en populær og får mange brugere.

I almindelighed fungerer det tilfredsstillende i en frode-fredegod verden, hvor der kun er gode mennesker, og ingen hemmeligheder.

Det er langt fra sikkert, at f.eks. DropBox kan anvendes generelt og af enhver på en måde som opfylder krav og regler for datasikkerhed.
Derfor er det ikke op til en tilfældig sundhedsmedarbejder at indføre en app til løsning af selv et nok så reelt , praktisk, problem.

Højst sandsynligt kan kun få apps slippes løs i et sundhedsvæsen.
Det ville sandsynligvis kræve en central administration af sikkerheds- og gruppeopsætningen.
For ikke at nævne en analyse af hvor befinder data sig ? Mon ikke FaceBook-skandalen har lært os eet eller andet.

  • 0
  • 0
Mads Bendixen

@Jan Heisterberg:
Eksemplet med Dropbox var som svar på at man "bare" kunne fratage brugerne lokal administrator rettigheder og ikke behøvede en applikation whitelist.
Pointen er, det er ikke nødvendigvis nok.

At applikationerne så medfører andre problemstillinger, er en anden diskussion.

  • 0
  • 0
Kjeld Flarup Christensen

Hvis den ikke er det, så skal du først forklare hvorfor det er relevant at få program X installeret, vente på at dit behov bliver vurderet og godkendt, vente på at en installations-pakke til Program X bliver udviklet og kommer på plads i repository.


Så vidt jeg lige husker, fra da jeg brugte Citrix for over 10 år siden, så tager det ikke længere tid at gøre dette end at lave installationen.
Altså man skal have en administrator til at installere det centralt, og i samme omgang vurdere om det er noget skidt, og så kan det blot rulles ud.

  • 0
  • 0
Jakob Dahl

Hvis den ikke er det, så skal du først forklare hvorfor det er relevant at få program X installeret, vente på at dit behov bliver vurderet og godkendt, vente på at en installations-pakke til Program X bliver udviklet og kommer på plads i repository.

Har du først en gang siddet med et akut, reelt behov for at installere et program kun for at løbe ind i ovenstående, så vil du nok revurdere din vurdering af, at det ikke kan være det helt store problem.

2 ting til det: Almindelig software af en rimelig kvalitet tager ikke lang tid at pakketere hvis man har sat folk af til client management. Det kræver så at man gør det. Og så er det i et miljø som en region ret usandsynligt at der pludseligt dumper et behov ned fra himlen om software der skal bruges sådan lige pludseligt nu. I processen med at stille noget til rådighed er det som regel vurderingen på resten af miljøet der tager mest tid.

  • 0
  • 0
Jakob Dahl

Det er ikke helt så simpelt. Nogle applikationer kører fint i brugerens non-admin kontekst, de installeres i brugerens personlige folder.
Eksemplerne er Dropbox m.fl.


De fleste client management systemer laver/kan lave inventory på brug af software. Årsagen er licens styring. Men hvis man gør brugerne opmærksom på at det vil have ansættelsesmæssige konsekvenser hvis man ser at eksempel dropbox.exe køre så hjælper det som regel. Specielt når de første par stykker er røget.

  • 0
  • 0
Log ind eller Opret konto for at kommentere