Energinet.dk om skarp kritik af it-sikkerhed: Vi er på rette vej, men ikke i mål endnu

Rigsrevisionen kritiserer i dag i skarpe vendinger it-sikkerheden i seks statslige selskaber, herunder Energinet.dk. Flere tidligere undersøgelser i Energinet.dk viser samme tendens: Niveauet er ikke højt nok, men vi er på rette vej, men ikke i mål endnu, lyder det fra det statslige energiselskabs it-direktør.

Det kommer ikke som en overraskelse for Energinet.dk, at man i dag er under skarp kritik fra Rigsrevisionen i en ny beretning om adgangen til seks statslige it-systemer, blandt andet dem hos Energinet.dk

»Det er aldrig rart, når f.eks. Rigsrevisionen påpeger, at vores niveau på nogle områder burde være bedre. Omvendt overrasker det mig ikke. Vi ved godt, hvor vi står, og vi følger den plan, vi har lagt. Og meget af det, Rigsrevisionen pegede på, da den var her den 2. marts, var vi faktisk allerede i gang med at forbedre på det tidspunkt,« siger it-direktør i Energinet.dk Morten Gade Christensen ifølge en pressemeddelelse.

Resultaterne stemmer ifølge it-direktøren overordnet overens med de tidligere undersøgelser, som uafhængige firmaer har lavet for selskabet, og de stemmer også med deres egne interne undersøgelser.

»Vi har ligget på et for lavtniveau, vi er på rette vej, men vi er ikke i mål endnu,« siger Morten Gade Christensen.

Seks statslige selskabers it-sikkerhed er blevet gennemgået af Rigsrevisionen i en beretning til Statsrevisiorerne, ”Beretning til Statsrevisorerne om adgang til it-systemer, der undersøtter samfundsvigtige opgaver”. Energinet.dk er et af selskaberne, og Rigsrevisionen konkluderer, at it-sikkerhedsniveauet ikke er højt nok.

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

Energinet.dk har bl.a. investeret over 100 millioner i et nyt og mere sikkert SCADA-system til at styre elnettet, flere er ansat til at højne it-sikkerheden, der er indført nye programmer, procedurer og politikker, der skal højne medarbejdernes bevidsthed om it-sikkerhed, ligesom et selskab bl.a. er blevet hyret til at forsøge at hacke Energinet.dk for at teste sikkerheden.

På vej fra 2.0 til 4.0

Energinet.dk erkendte tilbage i 2014, at it-sikkerhedsniveauet var for lavt, scorede Energinet.dk 2,0 på den såkaldte CMMI-skala (Capability Maturity Model Integration). Skalaen går fra 1 til 5. Målet er at komme op på 3,0 i 2015, 3,5 i 2016 og 4,0 i 2017.

Trafiklysskala
Rigsrevisionen scorede dengang Energinet.dk på 30 punkter i en ”trafiklysskala”. Scoren lød på 14 grønne ”opfyldt”, 8 gule ”delvist opfyldt” og 8 røde ”ikke opfyldt”. En tilsvarende måling ville i dag vise to røde og en gul, forklarer Morten Gade Christensen.

Det store spørgsmål, som mange stiller sig, er: Kan hackere slukke for strømmen i Danmark? Ifølge Morten Gade Christensen kan ingen give en 100 procents garanti.

»Men jeg sover roligt om natten. Vi arbejder benhårdt med it-sikkerhed, vi har back up-systemer og i værste fald kan elnettet styres manuelt, så at Danmark kan gå i sort, skal man ikke gå rundt at være bange for,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"Omvendt overrasker det mig ikke. Vi ved godt, hvor vi står, og vi følger den plan, vi har lagt. "

Vil nogen af alle de kyndige folk herinde ikke forklare, om det virkeligt kan tage så lang til at få rettet op på disse ting? For en udenforstående amatør lyder de nævnte "forseelser" ikke umiddelbart som noget, det burde tage år at rette op på?

Undervurderer jeg kompleksiteten af disse ting?

Under alle omstændigheder, så har disse institutioner haft IT-løsninger i årevis - hvordan kan det gå til, at man ikke har taget dette alvorligt før nu? (hvis man altså overhovedet tager det alvorligt nu-jeg vil se det, før jeg tror det).

  • 0
  • 0
Cristian Ambæk

Vil nogen af alle de kyndige folk herinde ikke forklare, om det virkeligt kan tage så lang til at få rettet op på disse ting?

Jeg tænker at det vil kræve at vi ved hvad rigsrevisionen påpeger i sin rapport samt hvad løsningen var da den blev lavet. Alt i alt tager opgradering af IT sikkerhed lang tid at gennemføre, men jeg vil ikke blive overrasket hvis offentlige instanser gør det sværere for dem selv end nødvendigt og mere tidskrævende.

Jeg har desværre ikke haft muligheden, men jeg kunne godt tænke mig at komme ind og se (hvis muligheden skulle byde sig) med mine egne øjne hvordan de strikker disse systemer sammen.

  • 1
  • 0
Jens Jönsson

Vil nogen af alle de kyndige folk herinde ikke forklare, om det virkeligt kan tage så lang til at få rettet op på disse ting? For en udenforstående amatør lyder de nævnte "forseelser" ikke umiddelbart som noget, det burde tage år at rette op på?


Det er jo svært at sætte tid på, hvor lang tid det skal tage. Men først skal de vel have undersøgt systemerne, hvor eventuelle problematikker kan opstå.

Jeg kan forestille mig at der er en masse SCADA systemer, som er blevet installeret og aldrig konfigureret med password, centralt styret login osv.
Hvad jeg kender til elektrikere, så er mange af dem ganske IT kyndige på mange områder, men de arbejder jo ikke med det dybere i netværk og sikkerhed.
Derfor bliver "dimser" smidt på netværket med standard brugernavn/password osv.
Den store udfordring for Energinet.dk er jo så at få styr på det hele og måske adskilt systemerne sikkerhedsmæssigt uden at miste adgang til systemerne for dem der skal servicere osv.

Undervurderer jeg kompleksiteten af disse ting?

Det gør man nok nemt.....

  • 3
  • 0
Claus Bobjerg Juul

Hvor lang tid tager det at skifte password på fx 300 stk system og service konti? Hvor mange utilsigtet nedbrud får du efterfølgende? Er det ok at det ikke er blevet gjort tidligere, nej.

Hvor lang tid tager det at undersøge og vælge et system til detektion af anomalier? Hvor lang tid tager det at finde pengene? Hvor lang tid tager det at implementere, test og idriftsætte?

  • 0
  • 0
Anne-Marie Krogsbøll

Tak til Christian Ambæk og Jens Jönsson for at gøre mig klogere. Jeg synes stadig, at nogle af de ting, der nævnes i artiklen om rapporten, lyder som et spørgsmål om bare at få det gjort, men jeg bøjer mig for sagkundskaben - indtil der evt. kommer nogen og modsiger den .-)

  • 1
  • 0
Mads Bendixen

Ja, det tager tid. Ofte er der en masse teknisk gæld der skal rettes op på, inden man kan hæve sikkerhedsniveauet, især i fusioner af flere firmaer. Der kan sagtens være applikationer der har 10-15 år eller mere på bagen, hvor dokumentationen er mangelfuld, kildekode og firmaet der udviklede applikationen ikke findes længere.
Det ikke unaturligt, hverken i det private eller det offentlige. Men det er kun for sidstnævnte det kommer i medierne.

Man kan sagtens have en hel masse, korrekte, meninger om at det er for dårligt og der skal rettes op på det. Men det hjælper ikke noget når skaden er sket og det tager tid at få rettet op på det, hvis man f.eks. skal have nyudviklet en eller flere applikationer.

  • 1
  • 0
Anne-Marie Krogsbøll

Tak for endnu et svar på mit spørgsmål, Mads Bendixen.

Men når nu der i artiklen om selve rapporten skrives -

"»Desuden har ingen af institutionerne skiftet ikke-personlige passwords årligt, og størstedelen af de pågældende passwords er op til 7 år gamle. Enkelte passwords er ikke blevet skiftet siden slutningen af 1990’erne,« står der i rapporten.

Derudover fremgår det af denne figur, at ingen af institutionerne har sørget for at ændre kodeordene til administratorrettighederne, når en it-chef fratrådte."

hører det så også under den type forseelser, som det ville kræve en stor indsats at rette op på?

Det skyldes sikkert mit ringe kendskab til den slags store systemer, men så kan jeg da måske blive lidt klogere.

  • 0
  • 0
Mads Bendixen

hører det så også under den type forseelser, som det ville kræve en stor indsats at rette op på?


Måske. Ud fra denne type rapporter, er det svært at give et klart svar, rapporterne er lavet til ikke-tekniske personer. Der er en hel del tekst, men ikke så meget indhold.
Der kan være hardcoded brugernavn og/eller passwords i applikationer, som man ikke umiddelbart kan rette. Det kan forekommer i alle applikationer, uanset størrelse.

Jeg har ikke læst rapporten, kun skimmet den igennem. Men mit umiddelbare indtryk er at du kan lave en tilsvarende rapport på 6 private virksomheder og få det samme resultat. Det er ikke et unormalt billede.

1 ting er jeg dog faldet over:

Institutionen har sikret, at personlige administratorpasswords følger god praksis (har en længde på mindst 9 karakterer, er komplekse, fx små og store bogstaver og tal, og skiftes inden 90 dage).

Især de 90 dage skærer i øjnene. Inden for militæret er det 180 dage. Det er også bevist af flere forskere, at et længere password er bedre end et kort, komplekst password.

  • 2
  • 0
Mads Bendixen

Forklaringen er i skemaet på side 21, 4. række.

Resultatet fremgår i tabel 1 på side 8. 5 ud af 6 får gul, 1 får rød. Hvis man skal følge anbefalingerne fra eksperter, kan det aldrig give en grøn.

  • 0
  • 0
Anne-Marie Krogsbøll

Mads Bendixen:

Nå, jeg kan ikke finde det, på trods af din forklaring, men det er nok min egen fejl. Kigger du i det link til rapporten, jeg har lagt ovenfor?

Var din pointe, at det citerede IKKE kan betragtes som god praksis?

  • 0
  • 0
Rasmus Kaae

"Energinet.dk erkendte tilbage i 2014, at it-sikkerhedsniveauet var for lavt, scorede Energinet.dk 2,0 på den såkaldte CMMI-skala (Capability Maturity Model Integration). Skalaen går fra 1 til 5. Målet er at komme op på 3,0 i 2015, 3,5 i 2016 og 4,0 i 2017."

Hvad har CMMI med sikkerhed at gøre? De kunne ligeså godt skrive at de stilede mod at alle deres projektledere er certificerede.

  • 0
  • 0
Rasmus Kaae

CMMI udtaler sig mig bekendt kun om hvorvidt der er overensstemmelse mellem det man siger man gør (definerede processer) og det man faktisk gør målt mod nogle generiske områder.

Hvis det er sikkerhed man jagter må der være mere egnede certificeringer man kan beskæftige sig med :-)

  • 0
  • 0
Chris Bagge

Når du bliver CMMI vurderet ser man på om du har beskrevet dine processer, og om du også følger dem, meen der er en del krav til hvor 'gode' dine processer er.

Det der springer i øjnene for mig er, hvor hurtigt de tror de kan opnå de forskellige niveauer. Så hurtigt går det ikke! Det er en rigtigt sej ting at komme igennem. Det drejer sig ikke bare om processer, det er i stor udstrækning tale om ændring af arbejdsmetoder. Der arbejdes i øvrigt på et CMMI modul omkring security men jeg ved ikke hvor langt de er kommet.

  • 0
  • 0
Chris Bagge

Meget af de der er tale om er ikke PC'er og lignende udstyr, men styringer af forskellig at. Det kan ofte være udstyr der er 20 år gammelt. En masse af de sikkerhedskrav vi i dag har var slet ikke aktuelle den gang. Og det er ikke 'bare lige' at erstatte sådanne kasser.

  • 0
  • 0
Anne-Marie Krogsbøll

Det er sikkert rigtigt. Men nogen må jo undervejs i udviklingen have haft ansvaret for, at man ikke har haft fokus på at overholde blot basale sikkerhedskrav (sådan som jeg forstår det). Hvem har haft ansvaret for det? Har det ikke været nogens "job" at sikre, at sikkerheden kunne følge med alle de nye smarte funktioner og systemer?

Hvis ikke, hvem har så haft ansvaret for IKKE at fastlægge en ansvarshavende for dette?

På trods (eller måske netop på grund af?) af et utal af styrelser, tilsyn, råd, udvalg, rapporter osv. så er der INGEN, der har et ansvar for dette. Og efterhånden er min konklusion, at der må være nogen, der har interesse i, at det netop IKKE er muligt at placere et ansvar for noget som helst på dette felt.

Jeg gider simpelthen ikke mere alt dette med "ansvaret, der forsvandt". Det er alt for dyrt for samfundet, OG for de borgere, der rammes af den svigtende sikkerhed.

Hvis ikke man stiller nogen til ansvar for disse alvorlige svigt - eller i hvert fald får slået fast, hvor det gik galt (det er ikke nok blot at konstatere, AT det gik galt - men "nu ser vi fremad"), så bliver det ALDRIG bedre! Med 200% sikkerhed!

  • 1
  • 0
Log ind eller Opret konto for at kommentere