Flash er ude og DMARC er inde: 20 sikkerhedskrav rammer de statslige myndigheder

Illustration: REDPIXEL.PL/Bigstock
Næste år vil der være et krav om, at statslige myndigheder ikke må bruge Flash på hjemmesider. Til gengæld skal myndighederne anvende mailbeskyttelsesteknologien DMARC.

Fra 1. januar 2020 skal statslige myndigheder leve op til en stribe konkrete sikkerhedskrav. Og seks måneder senere skal yderligere krav efterleves.

Det er vedtaget som led i det, der kaldes den nationale strategi for cyber- og informationssikkerhed.

Center for Cybersikkerhed og Digitaliseringsstyrelsen fortæller mere om det i en fælles pressemeddelelse, der tirsdag er bragt på begge myndigheders hjemmesider.

I meddelelsen bliver det bemærket, at størstedelen af kravene følger eksisterende vejledninger og anbefalinger på området fra Digitaliseringsstyrelsen, Center for Cybersikkerhed og Datatilsynet.

De 20 krav, som fremsættes, har til formål at »beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware«, oplyses det i meddelelsen.

Farvel til Flash

Kravene er oplistet på hjemmesiden Sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag, sammen med en række andre samarbejdspartnere. Disse partnere er blandt andet Center for Cybersikkerhed og Datatilsynet.

Langt hovedparten af kravene – 17 stykker – skal efterleves til januar. Men de statslige myndigheder kan vente seks måneder yderligere, til juli 2020, med at leve op til de sidste tre krav.

Et af dem er, at der fra 1. juli næste år ikke må anvendes Flash-teknologi på hjemmesider tilhørende statslige myndigheder.

Læs også: Flash er færdig som gårdsanger

Adobes Flash-platform når 'end-of-life' i 2020, og dermed frigives der heller ikke flere opdateringer til platformen.

»Anvendelse af Flash i en web-browser frarådes i forvejen, men udgør fortsat størstedelen af sårbarheder, der anvendes til at kompromittere en computer gennem kørsel af skadelig flash-kode,« fremgår det desuden under punktet om, hvorfor Flash skal ud.

Brugeren skal ikke være administrator

Et andet af de tre juli-krav handler om, at brugere i udgangspunktet ikke skal have admin-rettigheder. Eller som det hedder i beskrivelsen for dette punkt: »Administrative rettigheder for brugere tildeles kun tidsbegrænset og med veldokumenterede behov.«

Som flere Version2-læsere ved, så er det ikke usædvanligt, at malware bliver eksekveret i den kontekst, brugeren er logget ind i. Så hvis brugeren er logget på med administrator-rettigheder, kan ondsindet kode også blive eksekveret med admin-rettigheder.

»Størstedelen af malware kræver administrative rettigheder på pc'en for at blive installeret. For at hindre risikoen for spredning af malware skal brugere derfor ikke have administrationsrettigheder, medmindre der er et dokumenteret forretningsmæssigt behov,« lyder det i begrundelsen for kravet i forhold til admin-rettigheder.

DMARC

Det sidste af de tre sikkerhedskrav, som myndighederne kan vente til juli med at få styr på, er lidt af en gammel kending på Version2. Nemlig mailbeskyttelsesteknologien DMARC.

Læs også: CFCS i DMARC-smutter: »Det er selvfølgelig en ren tilståelsessag«

Læs også: DMARC: Partier og Folketinget står åbne for hackeres fup-mails

Læs også: Efter angreb med falske mails - nu bruger Socialdemokratiet DMARC

Læs også: Microsoft putter vellignende fup-mails i spam - Google og Yahoo sletter dem

Center for Cybersikkerhed siden 2017 har anbefalet danske organisationer at implementere DMARC for at dæmme op for truslen fra såkaldt falske mails.

Eksempelvis phishing-baserede angreb, CEO Fraud og den slags.

DMARC kan beskytte mod, at en angriber får held til at sende en mail til et offer, hvor mailen ser ud til at være sendt fra et legitimt afsenderdomæne uden at være det.

Det kunne eksempelvis være en mail, der ser ud til at komme fra ceo@datatilsynet.dk, men som det i virkeligheden er en angriber, der står bag.

For at DMARC skal fungere effektivt, skal teknologien være sat op med en reject-policy for det pågældende domæne.

Hvis den pågældende policy er sat til 'reject', betyder det, at svindelmails smides væk, inden de når modtagerens indbakke, hvis ellers modtagerens mailsystem også understøtter DMARC.

Center for Cybersikkerhed har udgivet en vejledning til DMARC (PDF).

»Det blev tidligt jul i år«

DMARC-kravet tilsiger, at der skal være en DMARC-reject-policy på alle domæner tilhørende myndigheden.

På websiden Status.dmarc.dk ligger en opgørelse over, hvordan det står til med DMARC-implementeringen hos forskellige organisationer i Danmark.

Der er tilsyneladende en del at tage fat på hos flere statslige myndigheder inden juli. På status.dmarck.dk ligger der en opgørelse over en bred skare af netop statslige domæner. Her fremgår det, at mange af dem ikke har en reject-policy’en på plads endnu.

Og andre har slet ikke implementeret DMARC. Det gælder eksempelvis for Datatilsynet.dk.

Henrik Schack står bag status.dmarc.dk, og han glæder sig over udmeldingen i forhold til DMARC og de statslige myndigheder:

»Det er da en fantastisk sikkerhedsudmelding, det blev tidligt jul i år,« skriver han i en mail til Version2.

Operativsystemer skal opdateres regelmæssigt

I forhold til flere af de krav, de statslige myndigheder skal leve op til allerede til januar, så vil der nok være en it-sikkerhedskyndig eller to derude, der håber på, at i hvert fald en del af de statslige myndigheder også i skrivende stund lever op til kravene.

Et af januar-kravene handler eksempelvis om, at »operativsystem og apps på mobile enheder skal opdateres regelmæssigt.«

Et andet krav går ud på, at »WIFI på myndighedens arbejdsnetværk skal være krypteret med minimum WPA2.«

Og så kommer der til januar også et krav om, at »der skal benyttes regelmæssigt opdateret serversoftware på webservere.«

»’Følg eller forklar’-princippet«

De kommende sikkerhedskrav gælder i udgangspunktet de statslige myndigheder over en bred kam. Og hvis en myndighed ikke efterlever et krav, så skal der være en god grund til det, fremgår det af pressemeddelelsen fra Digitaliseringsstyrelsen og Center for Cybersikkerhed:

»Det vil som udgangspunkt ikke være muligt at fravige kravene. Såfremt et krav undtagelsesvis ikke bliver efterlevet, skal myndigheden kunne redegøre for årsagen hertil samt den forventede tidshorisont for implementering af kravet ud fra ’Følg eller forklar’-princippet.«

I meddelelsen fra de to myndigheder bliver det desuden bemærket, at »kravene er minimumskrav, som ikke fritager myndighederne fra at foretage egne risikovurderinger og implementere yderligere sikkerhedstiltag i relevant omfang«.

Version2 har spurgt Digitaliseringsstyrelsen, hvilken overvågning der vil være af, om de statslige myndigheder lever op til sikkerhedskravene. Vi har desuden spurgt styrelsen om, hvilke sanktionsmuligheder der er, hvis en myndighed ikke lever op til kravene.

»Der vil i første halvår af 2020 blive gennemført en opfølgning på myndighedernes efterlevelse af de pågældende krav. Minimumskravene følger ikke af lovgivning, og der er derfor ikke umiddelbart juridiske sanktioner ved manglende overholdelse,« oplyser kontorchef i Digitaliseringsstyrelsen Marie Wessel i et skriftligt svar og tilføjer:

»Men hvis en myndighed ikke overholder et af kravene, vil man i forbindelse med opfølgningen skulle redegøre for en tidsplan for implementering af kravet.«

Artiklen er opdateret med svar fra Digitaliseringsstyrelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sidsel Jensen Blogger
  1. Det er minimumsliste...

De skriver selv på https://sikkerdigital.dk/myndighed/tekniske-tiltag/tekniske-minimumskrav/:
"For størstedelen af myndighederne vil en lang række af kravene allerede være helt eller delvist opfyldt."

  1. Hvem sidder i styregruppen?

"Kravene er godkendt af styregruppen for den nationale cyber- og informationssikkerhedsstrategi, herunder Finansministeriet, Forsvarsministeriet, Justitsministeriet, Transport- og Boligministeriet, Erhvervsministeriet, Sundheds- og Ældreministeriet samt Klima- Energi og Forsyningsministeriet."

  1. Hvor er den tilsvarende liste for kommuner (ikke statslige organisationer?)

  2. Hvorfor er IPv6 f.eks. ikke på listen?

  • 3
  • 0
Jens Pedersen

Der må være nogen årsager til, at kun ganske få ude i verden og i Danmark har implementeret Dmarc, og en mulighed kunne være, at det ikke er dødnemt at sætte op. Personligt kan jeg ikke se, at Dmarc frembyder kæmpestore fordele i forhold til SPF. SPF er heldigvis meget udbredt, og nemt at sætte op, men hvor mange afviser på forhånd potentielle kunder, fordi de henvender sig fra et domæne, der ikke har SPF konfigureret?

Hvis man har en forretning, hvor man gerne vil i kontakt med kunder, der henvender sig via email, så tror jeg slet ikke at man ville overleve, hvis man afviste alle non-Dmarc henvendelser.

Selvfølgelig har det værdi, at man i hvert fald kan afvise spoof mails, som foregiver at komme fra egne domæner, men det kunne man også opnå med SPF alene, som er implementeret i Verden i et helt andet omfang, og som vitterligt er ret nemt at sætte op.

  • 0
  • 0
Henrik Schack

Selvfølgelig har det værdi, at man i hvert fald kan afvise spoof mails, som foregiver at komme fra egne domæner, men det kunne man også opnå med SPF alene, som er implementeret i Verden i et helt andet omfang, og som vitterligt er ret nemt at sætte op.


SPF har præcis ingen effekt i forhold til phishing, SPF forholder sig til sender-envelope adressens domæne, ikke det domæne du kan se i din mailklient.
SPF er iøvrigt ikke så specielt udbredt, de sidste tal jeg har set siger omkring 15% af DK domænerne.

  • 0
  • 0
Jens Pedersen

SPF gør, at man kan se, om "afsender domænet" passer med den IP adresse, som ens mailserver har modtaget mailen fra. Den kontrol er sikker, da man ikke kan forfalske afsender IP i en TCP forbindelse. Om den mailheader, man modtager er forfalsket er sådan set underordnet. Mailsystemet skal kun tage hensyn til matchen "Påstået afsenderdomæne" versus afsender IP adresse, og hvad man får tilsendt af påståede mellemstationer i headeren fra før mailen ramte ens egen MX, ignorerer man bare.

  • 0
  • 0
Martin Stein Frederiksen

Jeg tror generelt "bare" at pressede IT kontorer i virksomheder / instanser, er alt for pressede af dagligdagens trummerum og så det med at sætte sig ind i SPF er én ting, men når det så kommer til DKIM og DMARC, så er min oplevelse at de ikke forstår hvordan det virker og de i hvert fald, helt sikkert, ikke kan li' at der skal bruges tid på at vide hvor ting "kommer fra", altså eksterne systemer som bruger samme domæner og på den måde så risikerer at det ikke længere virker.

Men det giver jo ikke god grund til at lade være....men en ting er hvad man burde og hvad man skal....(Men man SKAL jo nu!!)
Kunne være fedt om man kunne vinkle af: "Modtag kun mails fra domæner der kører TLS (Forced) og der har en DMARC politik opsat, som ender med et "pass" ) :-)

Men så ville man kun modtage fra domæner på dmarc.dk's eliteliste :-D

  • 0
  • 0
Log ind eller Opret konto for at kommentere