SFI - Det Nationale Forskningscenter for Velfærd har alvorlige huller i it-sikkerheden.
Sådan lyder budskabet fra Rigsrevisionen i ny kritik af institutionen. Den kritiske rapport falder kort tid efter, at Version2 kunne afsløre, at SFI i år fandt malware på to servere, som havde huseret uset i systemet i siden 2012.
I den årlige 'Beretning om revision af statsregnskabet for 2015' har Rigsrevisionen vurderet it-sikkerheden hos en række offentlige organisationer - herunder SFI. Og konklusionen er klar: It-sikkerheden er utilstrækkelig.
Manglende opdateringer og svage kodeord
Ifølge Rigsrevisionens undersøgelse blev tredjepartsprogrammer - som Flash Player og Adobe - ikke opdateret automatisk. Brugere af førstnævnte blev ellers så sent som i april tilskyndet at opdatere for at lukke et kritisk sikkerhedshul.
Det fremgår af undersøgelsen, at SFI har haft oprettet en lang række brugerkonti med administratorrettigheder, der giver mest mulig magt i SFI’s it-miljø.
Samtidig har organisationen tilsyneladende ikke haft nogle krav til kodeord, men tilladt svage kodeord på både almindelige brugerkonti og på dem med admin-rettigheder.
‘Det medførte en risiko for, at uvedkommende kunne tilegne sig adgang til SFI’s systemer og data,’ skriver Rigsrevisionen.
'SFI manglede endvidere rutiner til at sikre, at passwords skiftes mindst én gang om året, eller når betroede it-medarbejdere fratræder,' fortsætter rapporten.
Slukke for antivirus
Ud over administratorrettigheder på SIF’s netværk har mange medarbejdere haft lokaladministrator-rettigheder og derfor også total kontrol over deres computere.
Det betyder, at der er større risiko for, at en hacker kan overtage rettighederne, slukke for antivirus og installere malware, vurderer Rigsrevisionen.
Malware - som den, SFI opdagede i forsommeren - har altså nemmere ved at skjule sig og brede sig, når den menige medarbejder har fri adgang til at installere programmer på egen computer.
I en mail til Version2 oplyser SFI, at alle kritikpunkterne er blevet afhjulpet efter påtalen fra Rigsrevisionen.
'På baggrund af dialogen med Rigsrevisionen har vi arbejdet systematisk med at styrke it-sikkerheden på SFI og herunder specifikt med implementering af Rigsrevisionens anbefalinger,' lyder kommentaren fra SFI, der bedriver datadreven forskning blandt andet i forhold for samfundets udsatte - herunder misbrugte børn og psykisk syge.
Usikker computer bliver springbræt
Version2 kunne tidligere på måneden ikke få svar fra SFI på, hvordan organisationens serverer blev kompromitteret med malware, og hvordan den ondsindede kode skjulte sig i fire år.
‘Hackere udvikler som bekendt hele tiden nye angrebsteknikker, som går uden om de gængse it-sikkerhedsforanstaltninger. Det har også været tilfældet her,’ skrev Hanne Friis Kaas, der er økonomi- og administrationschef ved SFI, i en mail til Version2.
Jacob Herbst, der er chief technical officer hos it-sikkerhedsvirksomheden Dubex, forklarede på det tidspunkt, at malware kun behøver ét svagt punkt for at komme ind i et netværk.
Læs også: It-sikkerhedskonsulenter: For mange virksomheder sjusker alvorligt med bruger-adgangen til it
»Den normale måde, sådan et angreb foregår på, er netop, at hackerne kommer ind i et system, og så bruger de systemet til at kompromittere andre systemer,« siger han til Version2.
Det er ikke umiddelbart nemt at afgøre, hvilke data malware-bagmænd har haft adgang til, vurderer Jacob Herbst.
»Hvis man er blevet kompromitteret, og man ikke har en log, der fuldstændigt viser, hvad der er foregået, eller en effektiv segmentering, så er det efter min opfattelse meget modigt at sige, at der kun har været adgang til ikke-kritisk information. For du har dybest set ikke nogen beviser for det.«
SFI opslog i august et stillingsopslag, hvor organisationen efterlyser en ny it-chef.
Mon ikke de også håndterer sundhedsdata ind imellem?
"»Hvis man er blevet kompromitteret og man ikke har en log, der fuldstændigt viser, hvad der er foregået eller en effektiv segmentering, så er det efter min opfattelse meget modigt at sige, at der kun har været adgang til ikke-kritisk information. For du har dybest set ikke nogle beviser for det.«"
Mon Sundhedsministeren snart ser skriften på væggen og indser, at der må logning på den centraliserede database over de kliniske kvalitetsdatabaser, som hun er i gang med at implementere? (eller også skulle man lade helt være med at centralisere).
"Mon Sundhedsministeren snart ser skriften på væggen og indser, at der må logning på den centraliserede database over de kliniske kvalitetsdatabaser, som hun er i gang med at implementere?"
Alle æg i en kurv, og ingen sikkerhedsnet mellem den og betongulvet.
Ud over at der selvfølgelig ikke skal være rettigheder til dem der ikke behøver dem, så kører meget malware i dag (specielt cryptolocler afarter) ganske glimrende uden nogen rettigheder.
De krypterer nemlig ikke systemet, men kun de filer brugeren i forvejen har adgang til, typisk Office og PDF dokumenter.
Antivirus er ligeledes direkte håbløst i dag, der går flere dage før de fanger nyt malware, der pumpes ud i tusinder af varianter hver dag.
Vi får løbende tilsendt spøjse duppede exe filer eller mails med links til samme, og virustotal.com kender dem først 2-3 senere, hvis overhovedet.
Typisk dukker de op når vi sunnitter dem til vores AV vendor og ikke et sekund før :/
Det sker rigtigt mange steder. Og ret beset med god grund. Jeg har i min tid som lærling og også senere tit set at folk var admins på deres egne computere.
Tit kan du end ikke tilslutte din computer på et WiFi netværk hvis du ikke er admin. Og med mindre du sidde samme sted altid så er det ikke holdbart.
Det vil sige du mener ar det almene råd om rettighedsbegrænsning og whitelisting af applikationer er ligegyldigt (bortset fra det måske stopper ransomware af elendig kvalitet) ?
Selvfølgelig ikke, lokaladmin rettigheder bør kun gives til dem der har behovet, men det beskytter ikke ret meget mod malware. Det gør applocker i øvrigt heller ikke, hvis det er den du tænker på som whitelisting?
Det var det lige præcist og det giver en vis beskyttelse omend ikke mod den avancerede malware.
Defense-in-depth hedder mantraet og der er ingen grund til ikke at gardere sig mod de primitive varianter, som ikke kan finde ud af at lave privilegie-eskalering.
Nu er jeg ikke Windows-ekspert men hvor langt kan man komme med EMET?
I øvrigt - med angrebets længde ligner det et APT og så bør det imødegås på en helt anden måde end bare håbe på at forhindre den første malware i at detonere.
Fire år er lang tid og jeg ville gerne kigge en dns-log igennem, matche op mod reputation-databaser af IP og domæner, samt ikke mindst en entropi-score i domænenavnene (høj indikerer at domænet er maskingenereret).
Loggen fra ArpWatch (kan også fås til Windows) ville jeg også gerne se for malwaren må have hoppet rundt omkring.