Fem myndigheder under lup: Ingen efterlever minimumskrav til it-sikkerheden

17. januar kl. 14:3210
Fem myndigheder under lup: Ingen efterlever minimumskrav til it-sikkerheden
Illustration: Rasmus Meisler.
En beretning fra Rigsrevisionen konkluderer, at ingen af fem statslige myndigheder efterlever de 20 minimumskrav for it-sikkerhed, der skulle være implementeret for over et år siden.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Ingen af myndighederne efterlevede alle de tekniske minimumskrav på revisionstidspunktet.«

Sådan lyder hovedkonklusionen fra Rigsrevisionens nyligt udgivne beretning af fem statslige myndigheders overholdelse af 20 minimumskrav for it-sikkerhed.

Alle myndigheder blev fra 1. januar 2020 pålagt at efterleve 17 tekniske krav til it-sikkerhed, hvor yderligere tre krav blev tilføjet i juni 2020, men allerede fra januar kunne Version2 berette, at Folketinget, flere ministerier og efterretningstjenester ikke var kommet i mål med at implementere DNSSEC-teknologien, som er krav nr. 16.

Nu melder Rigsrevisionen så ud, at fem myndigheder stadig ikke overholder kravene.

Artiklen fortsætter efter annoncen

De fem myndigheder er Statens It (Finansministeriet), Kriminalforsorgen (Justitsministeriet), Sundhedsdatastyrelsen (Sundhedsministeriet), Energistyrelsen (Klima-, Energi- og Forsyningsministeriet) og Fødevarestyrelsen (Ministeriet for Fødevarer, Landbrug og Fiskeri).

De fem er udvalgt, fordi »de står for at varetage samfundsvigtige opgaver og/eller håndtere følsomme oplysninger«, fremgår det af beretningen, der blev igangsat i juni sidste år på eget initiativ fra Rigsrevisionen.

Kravene blev vedtaget som en del af den nationale strategi for cyber- og informationssikkerhed fra 2018-2021, og størstedelen af dem er udarbejdet af Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet. De resterende er udtryk for udbredt best practice.

Det erklærede mål er at »beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware,« som det hed i en fælles pressemeddelelse fra Center for Cybersikkerhed og Digitaliseringsstyrelsen, da minimumskravene blev præsenteret i efteråret 2019.

Efterlevede 12 ud af 20 krav

I konklusionen kan man læse, at Sundhedsdatastyrelsen var den myndighed, der efterlevede færrest krav med kun 12 ud af 20. Samtidig efterlevede Statens It, der er en professionel aktør på området, kun 18 ud af de 20 krav. Energistyrelsen efterlevede 15 krav, Kriminalforsorgen 16 krav, og Fødevarestyrelsen 17 krav.

Hos Energistyrelsen og Fødevarestyrelsen har man valgt at bruge Statens It som leverandør for en række krav, og er dermed ikke selv ansvarlig for at overholde disse. Undersøgelsen viser, at Statens It lever op til denne forpligtelse, der underlægger dem at sikre 13 ud af de 20 krav på vegne af de to styrelser.

Men Energistyrelsen og Fødevarestyrelsen har selv haft ansvaret for de resterende krav, og det har de ikke klaret tilfredsstillende, skriver Rigsrevisionen.

Regelmæssig opdatering af mobile enheder blev ikke efterlevet

Rigsrevisionen fandt, at ingen af de fem myndigheder formåede at leve op til minimumskravet om regelmæssig opdatering af mobile enheder, der skal mindske risikoen for uberettiget adgang og aflytning.

Ifølge undersøgelsen har fire ud af fem af myndighederne haft handlingsplaner for at implementere minimumskravene, som de altså ikke kom i mål med.

Endelig kan man læse, at Statens It, ifølge Rigsrevisionen, ikke har været gode nok til at koordinere med Fødevarestyrelsen og Energistyrelsen om krav 18, der handler om at implementere kryptering på myndighedernes hjemmesider. I samme boldgade har Statens It og Energistyrelsen ikke været gode nok til at kommunikere i forhold til krav 20, der pålægger myndigheden regelmæssigt at opdatere deres webservere.

Alt dette fører til, at Statsrevisorerne anbefaler, at »Finansministeriet stiller sig i spidsen for vedvarende fokus på it-sikkerheden i staten.«

Som afrunding på konklusionen stille Statsrevisorerne også spørgsmålstegn ved fire af kravene, der, ifølge dem, er upræcise og har givet anledning til tvivl om, hvordan kravene skal efterleves. Det anbefales derfor, at Finansministeriet konkretiserer og uddyber minimumskrav 6, 13, 15 og 18.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
18. januar kl. 17:11

Hvis ikke der findes en negativ konsekvens, for de myndigheder der ikke efterlever de krav der bliver stillet dem, så er der INTET incitament for dem at efterleve det.

Sådan er det med ALT i denne verden og dette liv - vi kender det måske fra os selv.

Nu kan jeg ikke lure OM der er en konsekvens for dem - udover negativ presseomtale, hvilket preller af på de fleste myndigheder - men der er efter min mening, generelt alt for lidt konsekvens i det offentlige.

9
18. januar kl. 14:49

Nordic Choice Hotels har ikke skiftet til Chrome OS. De har skiftet på client-siden (dvs. hotellerne) til Chrome OS, mens de centrale systemer (reserveringssystem etc.) stadig kører under Windows. Så de har dermed fundet et 21. punkt: Autorisations-systemer i client-siden bør være forskellig fra autorisation i de centrale systemer. Konkret at man skal undgå at almindelige brugere er oprettet i Windows Active Directory, så at phishing/malware kan komme ind via en sådan 'almindelig' brugerkonto i Active Directory, og derfra kan eskalere sine adgange indtil man har magt over systemet. Det er en mere radikal tilgang end de sædvanlige mere-af-det-samme punkter: Mere logning, mere virus-værn, etc. Det er i stedet ligesom mainframe-modellen, ifølge hvilken Windows-brugere (eller deres hackere) har meget svært ved at eskalere deres adgangsrettigheder ind i de centrale systemer (da disse på mainframe styres med RACF og ikke med Active Directory). 'Security by obfucation' kan også indgå: Hackere mod Nordic Choice Hotels får et sværere liv, når man først skal hacke ind i Chrome OS, og herfra hoppe til Windows. Hvis hackerne direkte vil ramme Active Directory, skal de lave social engineering mod udviklere og systemadministratorer, og ikke 'bare' mod brugere.

Det her er ikke bare noget Petter Stordalen og hans hoteller synes er smart at sige for at understrege deres seriøsitet : Det er den konkrete reaktion på en alvorlig phishing hændelse. Og der ligger ikke nogen antagelse om at Chrome OS er sikkerhedsmæssig bedre end Windows. Kan være så, men pointen er en anden.

Artiklen i digi.no anbefales også herfra.

7
18. januar kl. 00:02

At tale imod Microsoft og/eller Windows i Danmark er desværre lige så meningsløst som at pisse mod vinden.

Men hvem er det der gang på gang bliver våde efter endnu en gang ransomware?

Det er ufatteligt at man ikke vil acceptere bare en smule besvær ved at lære noget nyt, når gevinsten er så stor (i form af manglende tab) - senest Würth der tabte flere millioner på den konto, for ikke at tale om situationen i Ukraine.

6
17. januar kl. 23:25

Bruger da heldigvis OS til eget brug, ud over spil, hvor man ikke har brug for sådan noget skrammet, man retter vel sikkerhedsfejl, ved at bruge den automastisk opdatere af alt software.

Det skal siges jeg normalt kun bruger software som findes i distributionen.

På min spil maskine, som er den eneste hvor jeg hjemme i dag bruger Windowes, har jeg heldigvis ikke i de sidste omkring 10 år haft virus. Der skal siges at jeg IKKE henter eller installere fra usikerkilder, og jeg bruger både uBlock Origin og Privacy badger, og tilader ikke java eller andet "skrammel" når jeg tilgår hjemmeside. Henter intet vedhæfet ned , og går med 3 dobbelt sølvpapishat.

Glæder mig til at se hvad Steam OS3 og Steam Deck brinnger, måske mulighed for helt at vinke forvel til Windows hjemme. - se link

Om så antivirus fjern 99.999999999999999999999999 procent af alle virus, så risikereman man at blive ramt, ingen er inmun. - Man skal ikke sige om, men hvornår man bliver ramt som virksomhed, og eksistere man næste år hvis det sker. Men vil mene at pengene er bedre brugt på (rigtigt) backup, og hurtigt restore ind antivirus software. Pejer ikke finger af nogen, man kan og skal ikke vide sig sikker. Uanset OS, software, ... --- Derfor RIGTIGT backup samt kryptering, det er ikke en online kopi i skyen.

https://www.youtube.com/watch?v=SElZABp5M3U

5
17. januar kl. 23:21

Hvad med at overveje, bare en lille smule, at der faktisk findes OS'er der er mere robuste af natur, hvorfor antivirus ikke giver mening?

At tale imod Microsoft og/eller Windows i Danmark er desværre lige så meningsløst som at pisse mod vinden.

4
17. januar kl. 22:52

Der skal implementeres endpoint-beskyttelse mod virus

Hvad med at overveje, bare en lille smule, at der faktisk findes OS'er der er mere robuste af natur, hvorfor antivirus ikke giver mening?

Scanning for junkmail på server giver god mening - greylist, og blokering af bizarre TLD'er, som aldrig har haft skyggen af seriøsitet, og man er rigtig langt.

3
17. januar kl. 22:23

Jeg er enig i, at listen i hovedsagen er god. Og jeg er enig i, at det med antivirus er en grum undtagelse.

Antivirus på mail gateways er OK, fordi det begrænser de junk-mails, som folk skal sidde og tage stilling til. Og antivirus er muligvis meningsfyldt på fil-shares, men ellers er det et usmart krav, fordi det næppe gavner mere end det skader.

Der har været talrige sikkerhedshuller i antivirus-software, hvilket er ret uheldigt på software, der har fat så dybt inde i maskinen. Og der har været eksempler på, at antivirus software har umuliggjort eller forsinket/kompliceret OS opdateringer. Antivirus med on-access scanning hæmmer performance mærkbart, med mindre man er rundhåndet med undtagelses-lister, men hvis man indfører sådanne lister er logikken ligesom helt borte. Endvidere er antivirus yderst ringe til at fange malware, for malware-producenterne kan jo blot teste sine "produkter" mod gængs antivirus-software, inden det udsendes.

Nej, hyppig patching, gode kodeord og afinstallation af ting, der ikke benyttes, det er vejen frem -- i kombination med, at dagligt arbejde ikke udføres med administratorprivileger.

1
17. januar kl. 18:45

Listen er solid og det kan diskuteres om den er udtømmende.

Men to punkter springer i øjnene:

Det anvendte operativsystem skal være så nyt som muligt, og skal som minimum være supporteret med sikkerhedsopdateringer

Det er direkte skadeligt at benytte nyeste versioner af OS. Det er langt stærkere at vente med at opgradere til nye major versions indtil horderne har battle-testet upgrade path og stabilitet af systemet. Der er alt for mange eksempler fra både Apple og Microsoft på at nyeste OS kun er for de modigste.

Der skal implementeres endpoint-beskyttelse mod virus, malware mv. med automatisk opdatering på alle klienter

Det er stadig på ingen måde afklaret, om man kan stole på diverse antivirus løsninger. Og i mange tilfælde har antivirus-producenter solgt brugerdata til tredieparter, ødelagt drift, slettet data osv.

Man kan til nød argumentere for at det er anbefalelsesværdigt at benytte OS indbyggede antivirus tiltag, men at kræve endpoint beskyttelse mod virus, er det samme som at antage at anti-virus beskyttelsen ikke gør mere skade end gavn.