Folkekirkens It kaster om sig med admin-rettigheder

Illustration: REDPIXEL.PL/Bigstock
Hvis en hacker overtager en lokaladministrators rettigheder, kan hackeren afkoble sikkerhedssystemer - men i Folkekirken er der uddelt alt for mange lokaladministratorrettigheder.

Folkekirkens It sløser med indsatsen for at beskytte sig mod hackerangreb. Det fremgår af en ny beretning fra Rigsrevisionen. Konkret har Folkekirkens It, som bl.a. står for personregistreringen, ikke begrænset antallet af lokaladministratorer, idet alle brugere - ca. 3.500 - har rettigheder som lokaladministratorer.

Folkekirkens It driver også Kirkenettet, som blandt andet er et netværk for præsternes computere, hvor de opbevarer begravelsestaler og andre følsomme personoplysninger.

Rigsrevisionen påpeger, at den mangelfulde it-sikkerhed kan ramme beskyttelsen af borgerdata, f.eks. fra borgeres kontakt med præster.

Kritikken falder i Rigsrevisionens Beretning om revisionen af statsregnskabet for 2016, hvor syv organisationer har været under luppen for deres it-sikkerhedsarbejde.

Det er vigtigt at begrænse antallet af domæne- og lokaladministratorer, fordi det giver den højeste adgang og kontrol over systemer og data, skriver Rigsrevisionen.

»Medarbejdere, der er lokaladministratorer, har et højt niveau af adgang og kontrol over deres egne computere. Hvis en hacker overtager domæne- eller lokaladministratorers rettigheder, kan hackeren f.eks. lukke antivirusfunktionen eller andre funktioner, der har til formål at begrænse hacking på it-systemer eller computere,« lyder det i beretningen.

For fri adgang til at installere egne programmer

Det vil i værste fald kunne betyde adgang til organisationens øvrige it-systemer.

»Hackeren kan desuden installere forskellige skadelige programmer på virksomhedens systemer og computere,« skriver revisionen.

Også brugernes mulighed for at installere egne programmer kritiseres:

»Folkekirkens It har sikret, at en del af programmerne systematisk bliver sikkerhedsopdateret. Brugerne har imidlertid mulighed for selv at installere programmer på deres computere, og disse programmer sikkerhedsopdateres kun, hvis brugerne selv tager initiativ til det,« lyder kritikken.

7 organisationer undersøgt - ingen består

Ud over Folkekirkens It har Rigsrevisionen undersøgt it-sikkerhedforholdene, der skal forebygge hackerangreb, hos seks andre organisationer, nemlig Sikkerhedsstyrelsen, Styrelsen for Vand- og Naturforvaltning (Svana), De Nationale Geologiske Undersøgelser for Danmark og Grønland (Geus), NaturErhvervstyrelsen (nu Landbrugs- og Fiskeristyrelsen), Slots- og Kulturstyrelsen og Patent- og Varemærkestyrelsen.

Revisionen har fokus på fire konkrete tiltag, der kan beskytte mod en væsentlig del af de hackerangreb, som statslige virksomheder kan blive mødt med:

  • Opdatér programmer, f.eks. Adobe Reader, Microsoft Office, Flash Player og Java, med seneste sikkerhedsopdateringer.
  • Opdatér operativsystemer med seneste sikkerhedsopdateringer. Undgå Windows XP eller tidligere.
  • Begræns antallet af brugerkonti med domæne- eller lokaladministratorrettigheder.
  • Udarbejd en positivliste over godkendte programmer for at forhindre kørsel (afvikling) af ondsindet eller uønsket software.

Ingen af de syv udpegede deltagere i razziaen kommer pletfrie ud, konkluderes det i beretningen:

»Rigsrevisionen vurderer, at flertallet af de 7 virksomheder i undersøgelsen bør have større fokus på at beskytte deres systemer mod hackerangreb. 5 af virksomhederne har ikke i tilstrækkeligt omfang implementeret de 4 grundlæggende og effektive tiltag, som alle statslige virksomheder burde have implementeret ved udgangen af 2014.«

Det er ikke første gang, at it-forholdene i Folkekirken og Kirkeministeriet kritiseres. I foråret kom det frem, at ministeriet anviser folkekirkens ansatte til at bruge Dropbox, hvorfor denne tjeneste bl.a. blev brugt til at opbevare begravelsesaftaler.

Læs også: Begravelsestaler lægges i Dropbox: »Det er ikke en farbar løsning«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Walther Diechmann

At rigsrevisionen kritiserer forholdene i den offentlige administration er uden enhver tvivl helt på sin plads, og at der er udnævnt 3.500 lokaladministratorer skyldes enten at mit kendskab til antallet af ansatte i Folkekirken og Kirkeministeriet er for ringe, at begrebet administrator er blevet udvandet, eller (og det er nok måske i realiteten, det der er tilfældet) at det valgte "fartøj" har krævet en rund hånd med rettighederne!

Mig bevidst har det ikke hindret hacker angreb at undgå WindowsXP, nok snarere at undgå Windows!

Et uhyre pragmatisk eksempel: Mine svigerforældre sloges igennem en årrække med et galleri af stationære, bærbare, notebooks, mm - men fra den samme dag, de fik en iPad forstummede klagesangen, problemerne og udfordringerne. Den samme lektie sandede en af mine kunder -

Hvad så med alle de programmer, som Folkekirken og Kirkeministeriet skal bruge? Ja, enten er de udviklet med et web-interface (og så er der ikke noget problem) eller også er de udviklet som Windows programmer (og så må de skrives om - og de af systemerne som er udviklet indenfor de seneste 8-10 år kan passende lægges i en kasse for sig! Deres udviklere, projektledere, leverandører, og beslutningstagere burde slæbes ud på det offentlige sted hvor dårligt design, dårlige UI's og dårlig kode hånes, og stilles ved siden af deres kollegaer fra Adobe (Reader og Flash), nemID, og Word (når vi nu er ved det).
[Aktuel FUN FACT: En af de seneste opdateringer til Adobe Reader på Windows10 betyder at emails med PDF'er som vedhæftning ikke kan vises - medmindre du gør det igennem Google Chrome]

Men hvad løser det af sikkerhed?

  1. data ligger i 'skyen' - sikkerheden her skal ikke nødvendigvis behandles af 3.500 "administratorer"
  2. brugerne kan ikke "klikke" sig til syndigheder - eller det kan de så godt, men det er ikke noget deres iPad's tager skade af
  3. 'positivlisten' af programmer håndterer andre (Apple) - og så kan man naturligvis tage de dannebrogsfarvede monokler på og rømme sig - men det er en anden snak

Det er, især blandt sælgere af Windows hardware/software, utroligt populært at tale om TCO ; den og den løsning har en så lav TCO at det er et mirakel!

Det sande mirakel er at størstedelen af danske virksomheder og organisationer falder for de smukt oppustede balloner! For sandheden er, at når prisen for anti-virus programmer, opdateringer der løber af sporet, systemer der bliver hacket og arbejdstid der bliver brugt på at genstarte, samt konsulent honorarerne der hører hjemme i dette billede som sovs til kartofler - når alt det bliver lagt sammen, forstummer al snak om TCO, og nu hedder det: uheld, uforudset, altsammen noget med -u-

Og jo - jeg er også 'sovs' men prøver ofte at fortælle mine kunder at de 50%, de sparer i dag, dem har de allerede betalt inden nytår. Men igen - de vælger som regel også fartøjet først, og kigger så spændt i google-maps, hvor de kan komme hen . . .

  • 2
  • 0
Log ind eller Opret konto for at kommentere