SFI - Det Nationale Forskningscenter for Velfærd har alvorlige huller i it-sikkerheden.
Sådan lyder budskabet fra Rigsrevisionen i ny kritik af institutionen. Den kritiske rapport falder kort tid efter, at Version2 kunne afsløre, at SFI i år fandt malware på to servere, som havde huseret uset i systemet i siden 2012.
I den årlige 'Beretning om revision af statsregnskabet for 2015' har Rigsrevisionen vurderet it-sikkerheden hos en række offentlige organisationer - herunder SFI. Og konklusionen er klar: It-sikkerheden er utilstrækkelig.
Manglende opdateringer og svage kodeord
Ifølge Rigsrevisionens undersøgelse blev tredjepartsprogrammer - som Flash Player og Adobe - ikke opdateret automatisk. Brugere af førstnævnte blev ellers så sent som i april tilskyndet at opdatere for at lukke et kritisk sikkerhedshul.
Det fremgår af undersøgelsen, at SFI har haft oprettet en lang række brugerkonti med administratorrettigheder, der giver mest mulig magt i SFI’s it-miljø.
Samtidig har organisationen tilsyneladende ikke haft nogle krav til kodeord, men tilladt svage kodeord på både almindelige brugerkonti og på dem med admin-rettigheder.
‘Det medførte en risiko for, at uvedkommende kunne tilegne sig adgang til SFI’s systemer og data,’ skriver Rigsrevisionen.
'SFI manglede endvidere rutiner til at sikre, at passwords skiftes mindst én gang om året, eller når betroede it-medarbejdere fratræder,' fortsætter rapporten.
Slukke for antivirus
Ud over administratorrettigheder på SIF’s netværk har mange medarbejdere haft lokaladministrator-rettigheder og derfor også total kontrol over deres computere.
Det betyder, at der er større risiko for, at en hacker kan overtage rettighederne, slukke for antivirus og installere malware, vurderer Rigsrevisionen.
Malware - som den, SFI opdagede i forsommeren - har altså nemmere ved at skjule sig og brede sig, når den menige medarbejder har fri adgang til at installere programmer på egen computer.
I en mail til Version2 oplyser SFI, at alle kritikpunkterne er blevet afhjulpet efter påtalen fra Rigsrevisionen.
'På baggrund af dialogen med Rigsrevisionen har vi arbejdet systematisk med at styrke it-sikkerheden på SFI og herunder specifikt med implementering af Rigsrevisionens anbefalinger,' lyder kommentaren fra SFI, der bedriver datadreven forskning blandt andet i forhold for samfundets udsatte - herunder misbrugte børn og psykisk syge.
Usikker computer bliver springbræt
Version2 kunne tidligere på måneden ikke få svar fra SFI på, hvordan organisationens serverer blev kompromitteret med malware, og hvordan den ondsindede kode skjulte sig i fire år.
‘Hackere udvikler som bekendt hele tiden nye angrebsteknikker, som går uden om de gængse it-sikkerhedsforanstaltninger. Det har også været tilfældet her,’ skrev Hanne Friis Kaas, der er økonomi- og administrationschef ved SFI, i en mail til Version2.
Jacob Herbst, der er chief technical officer hos it-sikkerhedsvirksomheden Dubex, forklarede på det tidspunkt, at malware kun behøver ét svagt punkt for at komme ind i et netværk.
Læs også: It-sikkerhedskonsulenter: For mange virksomheder sjusker alvorligt med bruger-adgangen til it
»Den normale måde, sådan et angreb foregår på, er netop, at hackerne kommer ind i et system, og så bruger de systemet til at kompromittere andre systemer,« siger han til Version2.
Det er ikke umiddelbart nemt at afgøre, hvilke data malware-bagmænd har haft adgang til, vurderer Jacob Herbst.
»Hvis man er blevet kompromitteret, og man ikke har en log, der fuldstændigt viser, hvad der er foregået, eller en effektiv segmentering, så er det efter min opfattelse meget modigt at sige, at der kun har været adgang til ikke-kritisk information. For du har dybest set ikke nogen beviser for det.«
SFI opslog i august et stillingsopslag, hvor organisationen efterlyser en ny it-chef.