Malware-befængt institution standser rundspredning af admin-rettigheder

SFI – Det Nationale Forskningscenter for Velfærd - er i gang med at stramme op på it-sikkerheden efter kritik fra Rigsrevisionen i efteråret om alvorlige huller i institutionens it-sikkerheden.

SFI, der bedriver datadreven forskning blandt andet i forhold for samfundets udsatte, herunder misbrugte børn og psykisk syge, fik kritik for at have oprettet en lang række brugerkonti med administratorrettigheder, der giver mest mulig magt i SFI’s it-miljø.

Ud over administratorrettigheder på SIF’s netværk har mange medarbejdere haft lokaladministrator-rettigheder og derfor også total kontrol over deres computere. Det gav større risiko for, at en hacker kunne overtage rettighederne, slukke for antivirus og installere malware.

Men der var ikke bare sløset med adgangsrettigheder. Tredjepartsprogrammer - som Flash Player og Adobe - blev ikke opdateret automatisk hos SFI. Det blev brugere af ellers så sent som i april tilskyndet til for at lukke et kritisk sikkerhedshul.

Endelig havde organisationen tilsyneladende ikke haft nogle krav til kodeord, men tilladt svage kodeord på både almindelige brugerkonti og på dem med admin-rettigheder.

‘Det medførte en risiko for, at uvedkommende kunne tilegne sig adgang til SFI’s systemer og data,’ skrev Rigsrevisionen

Kritiskpunkterne fra Rigsrevisionen faldt kort tid efter, at Version2 kunne afsløre, at SFI også sidste år fandt malware på to servere, som havde huseret uset i systemet i siden 2012.

Under overskriften Utilstrækkelig it-sikkerhed i SFI – Det Nationale Forskningscenter for Velfærd oplyser Rigsrevisionen nu i en ny beretning, at SFI ifølge Social- og indenrigsministeren har reageret på de fremhævede kritikpunkter, bl.a. ved at begrænse antallet af konti med udvidede administratorrettigheder og lokaladministratorrettigheder.

Men departementet, som SFI hører under, nemlig Social- og Indenrigsministeriet, har også taget action. Som følge af kritikken har ministeriet gennemført et udvidet tilsyn med it-sikkerheden i SFI.

»Ministeriet forventer derudover at indarbejde særskilte resultatmål for SFI’s fortsatte indsats på området i ministeriets resultatplan for 2017 for SFI,« skriver Rigsrevisionen, der vil følge initiativerne.

MedCom passede ikke godt nok på følsomme sundhedsdata

En anden institution der behandler meget følsomme borgerdata, nemlig MedCom, som er en fællesoffentlig non profit organisation, der sikrer samarbejde mellem myndigheder, organisationer og private firmaer om projekter vedrørende digital kommunikation i den danske sundhedssektor, fik også kritik for utilstrækkelig styring af it-sikkerheden i sundhedsdatanettet.

»[Det] kan have alvorlige konsekvenser for patienters liv og helbred, hvis ikke itdriften hurtigt kan genoprettes ved nedbrud eller hackerangreb,« skrev Rigsrevisionen.

Sponseret indhold

V2 Briefing | GENERATIV AI: Sådan bruger du det professionelt

Kunstig Intelligens

MedCom’s formandskab har ifølge Sundheds- og ældreministeren taget konklusionerne i Rigsrevisionens beretning til efterretning og har bl.a. sikret, at it-sikkerhedsarbejdet for sundhedsdatanettet har fået større fokus i MedCom’s styregruppe.

MedCom vil udbedre de nævnte forhold, lyder konklusionen.

Basiskontrol i SKAT ikke god nok

Også SKAT har måttet stramme op på it-sikkerheden efter kritik fra Rigsrevisionen. Skat havde ifølge Rigsrevisionen væsentlige udfordringer med it-sikkerheden, bl.a. fordi der var utilstrækkelige generelle it-kontroller (basiskontroller) og svage kontroller i TastSelvBorger og eIndkomst.

Rigsrevisionen fandt det nødvendigt, at SKAT sætter fokus på at forbedre it-sikkerheden.

Det er ikke første gang, at SKAT er i søgelyset for elendig it-sikkerhed. Sammen med fire andre institutioner fik SKAT i efteråret kritik for, at der var alt for dårlig kontrol med, om it-driftsleverandørerne til SKAT passede godt nok på data.

Skatteministeren har nu svaret, at it-sikkerheden i SKAT skal være i orden, og at styring og kontroller i relation til it-systemerne skal være betryggende. SKAT finder det desuden vigtigt, at der stilles krav til leverandørers it-sikkerhed.

SKAT har i maj 2016 opdateret it-konsulentrammeaftalen med klare krav til it-sikkerheden og konsekvenser ved brud på it-sikkerheden. SKAT vil ifølge beretningen fra Rigsrevisionen desuden inden udgangen af 2016 opdatere sikkerhedsbilaget til it-driftsaftaler for at optimere sikkerhedskravene til eksterne it-leverandører.

Endelig har SKAT implementeret et nyt fælles værktøj og fælles processer for programændringer, lyder det.

Sponseret indhold

Mange virksomheder har en farlig tilgang til NIS2

ISO 27001

Skatteministeren oplyser supplerende, at SKAT har taget initiativ til forbedringer af kontrollerne i TastSelvBorger, og SKAT har nedsat en gruppe, som overvåger misbrug i systemet. SKAT har endvidere implementeret en række kontroller i eIndkomst, og strategien for eIndkomst
for perioden 2016-2018 vil omhandle indsatsen mod svig.

SKAT arbejder også på at implementere en løsning til en afstemningsmodel, der skal eliminere muligheden for fejl i udstillingen af oplysninger i systemet.

Seks statsorganisationer må stramme op

Ud over de to institutioner med et særligt fokus, viste beretningen fra efteråret 2016 om revisionen af statsregnskabet for 2015, at seks andre offentlige virksomheder havde mangler i deres logning og overvågning af dataaktivitet.

Der var tale om Statens It, Social- og Indenrigsministeriets departement, Sundhedsdatastyrelsen, Forsvarsministeriets Kapacitetsansvarlig Koncern It, Domstolsstyrelsen og Finanstilsynet, som alle nu har strammet op på deres utilstrækkelige it-sikkerhed.

Sponseret indhold

Microsoft tilføjer AI til enterprise-software - og det sker fra Lyngby

AI

»Virksomhederne manglede et tilstrækkeligt overblik over de store mængder logdata, der automatisk bliver skabt i deres it-systemer, og fem af virksomhederne havde et uforholdsmæssigt stort antal administratoradgange til logdataene,« skriver Rigsrevisionen.

Risikoen ved en mangelfuld logning og overvågning er ifølge Rigsrevisionen, 'at virksomhederne ikke opdager misbrug af deres data og it-systemer eller ikke har mulighed for at reagere hurtigt nok.'

• Finansministeren oplyser, at Statens It har oplyst, at de fortsat systematisk vil opsamle og håndtere logs.

• Social- og indenrigsministeren oplyser, at ministeriet har etableret en Security Information Event Management-løsning (SIEM), der understøtter logning og overvågning af dataaktiviteten.

• Sundheds- og ældreministeren oplyser, at Sundhedsdatastyrelsen er ved at konsolidere og udbrede styrelsens SIEM-løsning.

• Forsvarsministeren oplyser, at Koncern It er i gang med at implementere yderligere logning, herunder log-management, bl.a. på baggrund af aktuelle trusler.

• Justitsministeren oplyser, at Domstolsstyrelsen har etableret logning og overvågning af alle it-systemer.

• Erhvervs- og vækstministeren oplyser, at ministeriet har etableret et SIEM-system, der lagrer alle logs centralt og giver mulighed for alarmer og løbende rapportering.

Rigsrevisionen vil fremover have fokus på samtlige virksomhedernes arbejde med at styrke logning og overvågning af deres dataaktivitet i forbindelse med it-revisionen.

Statens Museum for Kunst også i søgelyset

Som den sidste og niende statsorganisation blev Statens Museum for Kunst kritiseret for mangelfuld it-sikkerhed i revisionen af statsregnskabet.

Statens Museum for Kunst har nu skærpet sikkerheden i det nuværende it-system Corpus, bl.a. ved at begrænse kredsen af medarbejdere, der kan oprette og redigere oplysninger om værkerne samt registrere oplysninger om værkernes fysiske placering. Ingen medarbejdere har længere adgang til udviklings-, test- og produktionsmiljøerne.

Museet har desuden øget egenkontrollen af registreringerne i Corpus, indtil et nyt system, SARA, tages i brug i år. Museet vil i samarbejde med Slots- og Kulturstyrelsen undersøge mulighederne for at etablere en systemunderstøttet funktionsadskilt kontrol af ændringer i værkernes fortrolige oplysninger, fx vedrørende værkernes placering og værdi.