Minister afgiver Word-svar

Microsoft har ikke givet regeringen eller statslige institutioner ekstraordinær information om sikkerhedshullerne i Word, oplyser videnskabsminister Helge Sander (V).

Endnu er Microsoft ikke kommet med rettelser til de sikkerhedshuller i tekstbehandlingsprogrammet Word, som Microsoft oplyste om sidste år. Det på trods af, at Microsoft selv betegnede fejlene som alvorlige og advarede brugere mod at åbne Word-filer fra ukendte eller uventede afsendere.

Advarslen fra Microsoft blev blandt andet kommenteret i et Blog-indlæg på Version2 af Poul-Henning Kamp og fik omgående Enhedslistens Per Clausen til at spørge videnskabsminister Helge Sander (V), hvilke forholdsregler ministeriet havde taget forbindelse med sikkerhedshullet, og om statslige institutioner har udarbejdet en risikovurdering, i fald de fortsætter med at modtage og sende Word-filer på trods af Microsofts advarsel.

Nu foreligger videnskabsministerens besvarelser på Per Clausens spørgsmål, og ifølge Helge Sander har det aktuelle Word-hul ikke ført til ændringer i ministeriets håndtering af word-filer.

Ministeren henviser ganske kort til Microsofts hjemmeside i sit svar til fire af Per Clausens spørgsmål:

»Det fremgår af Microsofts hjemmeside, at anbefalingen i forlængelse af oplysningen om et sikkerhedshul i tekstbehandlingsprogrammet Word ikke drejer sig om generelt at afholde sig fra at åbne vedhæftede dokumenter.

Microsoft anbefaler, at man bør ??være ekstra opmærksom på mistænkelige e-mails med vedhæftede Word-dokumenter?.

IT- og Telestyrelsen har oplyst, at det generelt anbefales, at offentlige myndigheder bør være opmærksomme på mistænkelige e-mails, uanset hvilken type dokument der er vedhæftet.«

Ministeren svarer ikke konkret på, om der er udfærdiget en risikovurdering, i fald institutioner vælger at se bort fra Microsofts advarsel mod at åbne medsendte Word-filer.

Om Word-truslen har forandret ministerens indstilling til open source-programmer svarer han:

»Det er regeringens politik, at den enkelte myndighed skal have mulighed for at erhverve den bedste og billigste software ud fra lokale forvaltningsmæssige behov, uanset om der er tale om leverandørejet eller open source-software.«

Videnskabsminister Helge Sander (V) har ikke ønsket at uddybe svarene overfor Version2.

Ifølge Microsofts hjemmeside betyder fejlen i Word, at det er muligt for andre at overtage kontrollen men en brugers computer, hvis brugeren åbner en inficeret Word-fil. Der er endnu ikke udsendt nogen rettelse til fejlen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Poul-Henning Kamp Blogger

Det hedder udenomssnak.

Hvis jeg var Journalist på Ekstrabladet ville jeg have sendt et spørgsmål om et og andet uskyldigt til Sanderministeriet i en Word-fil og så klasket svaret ud over hele forsiden når de svarede.

Vittigheden er naturligvis at det burde få alle lamper til at blinke hvis man modtager en Word fil fra en røget og garvet UNIXhaj som mig.

Men jeg er ikke sensationsjournalist og jeg vil ikke bringe en og anden sagesløs person i ministeriet i fedtefadet, for selvfølgelig ville jeg få svar og selvfølgelig ville ministeren stadig ikke forstå hvad sagen drejede sig om.

Poul-Henning

  • 0
  • 0
#2 Anders H

Man kan tilføje, at der ifølge ISC (Internet Storm Center) er fundet to ekstra fejl i MS Word siden spørgsmålene blev afsendt, som der endnu ikke er udgivet rettelser til. Disse giver også mulighed for at tage fuld kontrol over brugeren computer. Det er altså ikke længere "fejlen", men "fejlene".

"Svaret" fra ministeren nævner også kun at det er muligt at finde andre citater på Microsofts hjemmeside (hvilket jo ikke kan komme som en overraskelse). Der tages slet ikke stilling til det, som der bliver spurgt om.

Endelig er det jo utroligt naivt at tro, at man kan støtte sig til virusprogrammer og f.eks. navnet på afsenderen. De farligste angreb vil jo være de målrettede, som virusprogrammerne naturligvis ikke har set før og som de derfor ikke kan genkende, og problemerne med spam, viser jo hvor nemt det er at opgive en falsk afsenderadresse.

  • 0
  • 0
#4 Christian Schmidt Blogger

Ministeren svarer, at "IT- og Telestyrelsen har oplyst, at det generelt anbefales, at offentlige myndigheder bør være opmærksomme på mistænkelige e-mails, uanset hvilken type dokument der er vedhæftet."

Det fører jo sjældent til noget at spørge Helge Sander, men måske der er nogen offentligt ansatte, der læser med her, og som kan forklare, hvordan dette udmønter sig i praksis. Hvad gør man som offentligt ansat, hvis man modtaget et Word-dokument? I hvilke tilfælde vil et dokumentet blive betragtet som mistænkeligt? Og hvad gør man så med de mistænkelige dokumenter?

I hvilket omfang kan der åbnes tilsendte Word-dokumenter på computere, hvorfra der er adgang til ikke-offentlige informationer om borgere og virksomheder?

Sensationsjournalistik eller ej - jeg synes nu, det kunne være interessant og i offentlighedens interesse, hvis pressen foretog et par stikprøver af den offentlige sektors behandling af Word-dokumenter.

  • 0
  • 0
#5 Jørgen Ramskov

Jeg var for nyligt til et lille møde ved et stort international vikarbureau og der fik jeg som undskyldning for forsinkelsen at vide at det var fordi det tog lidt længere tid at håndtere emails for tiden da de var blevet forbudt at åbne word dokumenter de modtog. Det betød at de igen og igen var nødt til at bede afsenderne om at sende det igen som alm. tekst eller lignende.

Hvor meget tid bruger de lige på det? Og hvad koster det dem lige? En del i længden vil jeg gætte på...

  • 0
  • 0
#6 Christian Schmidt Blogger

Tja, måske er det dyrt, men jeg vil da sige, at jeg er positivt overrasket over, at nogen vælger at tage truslen seriøst.

Jeg gætter på, at de fleste edb-chefer vælger at sige "Nå, bøb bøb, det orker jeg ikke at forklare mine brugere. Hvis jeg nu krydser fingre, mon så ikke det går alligevel" - hvis da edb-chefen overhovedet er bekendt med pågældende sikkerhedshul.

  • 0
  • 0
#7 Jørgen Ramskov

Der er store forskelle på hvor seriøst det tages, men jo større virksomheden er, jo bedre råd er der ofte også til at håndtere den slags. Dvs. have folk til at tage sig af sikkerheden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere