To ministerier blæser på Rigsrevisionens it-anbefalinger mod ransomware

12 kommentarer.  Hop til debatten
To ministerier blæser på Rigsrevisionens it-anbefalinger mod ransomware
Illustration: master1305/Bigstock.
Sundhedsdatastyrelsen og Udenrigsministeriet vil ikke forhindre medarbejderne i at bruge private e-mailløsninger på arbejdspladsen. Heller ikke selv om det indgår i værnet mod ransomware og er anbefalet af Rigsrevisionen.
person
Henning Mølsted
Redaktionschef
Reportage7. juni 2018 kl. 10:15
errorÆldre end 30 dage
person
Henning Mølsted
Redaktionschef
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Flere ministerier blæser på de tiltag, som Rigsrevisionen i februar anbefalede en række statslige institutioner for at mindske deres risiko for at blive ramt af ransomwareangreb.

EKSEMPLER PÅ RANSOMWAREANGREB

De to seneste globale ransomwareangreb i maj (WannaCry) og juni (NotPetya/Petya) 2017 ramte både offentlige institutioner og private virksomheder. Angrebet i maj 2017 ramte over 200.000 computere i flere end 150 lande, herunder Danmark og Storbritannien, og er ifølge EU’s politienhed, Europol, uden fortilfælde. Det skal bemærkes, at der fortsat er en diskussion om, hvilken malware der var i brug i forbindelse med de to angreb, og hvad hackernes formål med angrebene var.

Locky

Region Syddanmark har i to tilfælde i foråret 2017 været ramt af ransomware-varianten Locky, der har låst for enkelte brugeres adgang til systemet/afdelingsdrev. I disse tilfælde er der sket en lukning af brugerkonti/berørte drev og dernæst geninstallation fra backup, oplyser Region Syd.

WannaCry

Det britiske sundhedsvæsen blev hårdt ramt af WannaCry, og ifølge den britiske rigsrevision måtte sundhedsvæsenet aflyse operationer af eller konsultationer med ca. 19.000 patienter. Den britiske rigsrevision pointerede, at angrebet ikke var avanceret, og at det kunne have været undgået ved hjælp af almindelige tiltag, der beskytter mod ransomware. Også i USA har flere angreb haft direkte konsekvenser for patientbehandlingen på hospitaler.

NotPetya/Petya

NotPetya/Petya ramte bl.a. den danske virksomhed A.P. Møller – Mærsk. Dele af virksomheden var uden adgang til sit it-netværk i flere døgn, hvilket betød, at virksomheden var nødt til at stoppe driften i flere havneterminaler. Angrebet viste, hvordan ransomware kan sprede sig som en orm i dele af eller i hele it-netværket og dermed forårsage store skader. Derudover viste det, at ransomwareangreb, som spreder sig, i nogle tilfælde også rammer systemer, der sandsynligvis ikke var hackerens tiltænkte mål.

Kilde: Rigsrevisionen og Region Syddanmark

Det er den opsigtsvækkkende konklusion i et ny notat fra Rigsrevisionen, som følger op på en beretning fra februar om beskyttelsen mod ransomware i fire statslige organisationer.

I februar-rapporten skortede det - som omtalt på Version2 - ikke på eksempler på manglende it-sikkerhed i undersøgelsen af de fire organisationer, nemlig Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen:

Artiklen fortsætter efter annoncen

Manglende sikkerhedsopdateringer, ingen whitelistening af programmer, ingen risikovurdering og manglende test af gendannelse af data var eksempler på, hvor værnet mod ransomware haltede.

Konklusionen fra Statsrevisorerne i vinter på baggrund af beretningen fra Rigsrevisionen var klar: De fire ministerier var alle for dårlige til at beskytte sig mod ransomwareangreb.

Vil ikke følge alle anbefalinger

I opfølgningen, som netop er udkommet, konstaterer Rigsrevisionen, at alle ministerier har implementeret eller planlægger at iværksætte en række tiltag, der skal rette op på de svagheder, som Rigsrevisionen påpegede, og dermed beskytte institutionerne mod ransomwareangreb.

Set over en bred kam er der f.eks. arbejdet på eller indført færre lokaladministratorrettigheder, tofaktor-login eller MDM-løsninger og offline-backup og test heraf, samt procedurer for hvordan data og systemer kan genetableres.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Men - og det er et vigtigt men - Rigsrevisionen må også konstatere, at ingen af ministerierne redegør for deres håndtering af alle de mangler, nemlig 20 beskyttelsestiltag, som Rigsrevisionen påpegede.

Dels er der punkter, hvor der mangler en beskrivelse af de anbefalede indsatser, og dels er nogle er redegørelserne uklare.

Men der er også to ministre, som ligefrem oplyser, at de ikke vil følge samtlige 20 anbefalinger fra Rigsrevisionen.

»2 ministre [oplyser], at de ikke planlægger at implementere ét af tiltagene, og det er uklart, hvilke kompenserende tiltag institutionerne eventuelt har iværksat, eller om risikoen fremgår af institutionernes risikoanalyse,« lyder det i rapporten fra Rigsrevisionen.

Sundhedsdatastyrelsen vil således ikke implementere tiltag, der forhindrer adgangen til private e-mailløsninger fra pc-arbejdspladsen.

Og Udenrigsministeriet er ude i noget af det samme, for her vil man ikke forhindre medarbejdernes brug af private e-mailløsninger, da ministeriet vurderer, at »det vil være en uhensigtsmæssig tung byrde i forhold til medarbejdernes arbejdsrytme og fleksibilitet«, som det lyder.

I stedet har Udenrigsministeriet oplyst, at man forhindrer, at skadelige filer mv. kan downloades og afvikles.

I Forsvarsministeriet og i Transport-, Bygnings- og Boligministeriet har man 'bare' udladt at fortælle, om man vil forhindre private e-mailløsninger.

Vil ikke forklare manglende tiltag

I en del andre tilfælde mangler der også en beskrivelse af indsatsen. Dvs. det er uklart, om det skyldes, at de anbefalede tiltag fra Rigsrevisionen er arkiveret lodret - eller om man bare ikke har fået gennemført tiltaget endnu.

Det gælder Udenrigsministeriet, der ikke oplyser, hvordan man vil følge op på awareness-kampagner, og transportministeren, der ikke forklarer, hvordan Banedanmark vil sikre, at kun godkendte programmer afvikles (whitelisting-løsning) - det gælder i øvrigt også for Beredskabsstyrelsen - eller hvilke tiltag Banedanmark har sat i værk for at sikre, at tredjepartsprodukter opdateres.

Rigsrevisionen understreger ellers igen, at »implementeringen af tiltagene sikrer en grundlæggende beskyttelse mod ransomwareangreb«.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om institutionernes implementering af tiltag, de steder hvor Rigsrevisionen påpegede mangler.

12 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
10
Brian Schmidt Pedersen
8. juni 2018 kl. 00:12

Nu omhandler rigsrevisionens rapport, mig bekendt, ikke eksternt hostede systemer. En simpel trace på hvor websiden um.dk er hosted, viser ret tydeligt at det ikke er hosted hos Udenrigsministeriet selv.

Det sagt, så er um.dk, mig bekendt, kun information til besøgende. Så hvis du er bange for at en fremmed magt skal se du besøger um.dk, så beskytter SSL ikke mod det. Hvis du er bange for at nogen DNS spoofer um.dk og sender dig til en Google translated version (var den eneste logiske sammenhæng jeg kunne finde i din anekdote) i håb om at du sender dem information, eller med intention om at give dig misinformation, så kan jeg godt se pointen i at SSL krypteret forbindelse er bedre (jeg har også selv brokket mig over det til Udenrigsministeriets webmaster).

Kommunikation mellem den besøgende og um er jeg overbevist om henvises til digital post. Ret mig gerne hvis jeg tager fejl.

Jeg må også tilstå at jeg ikke forstår din anekdote omkring sikker sex og adgang til personlige webmail tjenester, når det fremgår af nyheden at der blokeres for at kunne hente skadelig kode ned? Faktisk var der en del anekdotiske referencer jeg ikke helt forstod. Måske det bare er mig.

  • more_vert
    • insert_linkKopier link
9
Keld Rasmussen
7. juni 2018 kl. 22:29

Nogle kommuner er begyndt at se i den retning der hedder private virksomheder. Kan man drage nytte af at virksomheder i det private kunne bistå i statens tjeneste. At man ikke tager dette mere alvorligt tyder jo på man ikke følger med i hvad der foregår i hverdagen. Virksomheder her i landet bliver mere og mere ramt af hackerangreb men også ransomeware.

Der findes et produkt (Kaspersky) der kan håndtere disse angreb også hvis angrebet skulle flytte sig til skyen.

Men man kan håbe at når man er blevet ramt af ransomeware at ministerierne selv skal betale. Ved godt det ikke kommer til at ske - griner

  • more_vert
    • insert_linkKopier link
7
Anne-Marie Krogsbøll
7. juni 2018 kl. 14:49

Sundhedsdatastyrelsen .....

Meget betryggende - er det ikke dem, der skal være ansvarlige for Nationalt Genomcenter?

De har vel ikke lyst til, at nogen skal kunne kigge dem over skulderen mht., hvad det bliver brugt til. Så hellere kontakt med diverse forskere og firmaer via privat mail.... det ved man da, hvad er, og der gælder Offentlighedsloven vel ikke (i praksis)?

  • more_vert
    • insert_linkKopier link
6
Frank Jumppanen Andersen
7. juni 2018 kl. 13:57

det er absolut muligt at sikre privat mailadgang genem f.eks. cloud baserede sikkerhedstjenester. Vi har i mange år benyttet Scansafe / CWS til AL internet trafik - inkl, skanning i HTTPS strømme. Dette har vi nu omlagt til Umbrella.

Der findes andre tilsvarende interne og eksterne løsninger, hvor man kan bevare en god service til brugerne, og samtidig opretholde et fornuftigt sikkerhedsniveau.

  • more_vert
    • insert_linkKopier link
5
Hans Nielsen
7. juni 2018 kl. 13:51

I realiteten betyder det, at man ikke må bruge privat email på PC-arbejdspladsen, at man ikke må bruge sin arbejds PC privat.

Der står hvis ingen steder, at du skal have adgang til Facebook og Youtube i arbejdstiden :-)

Du kan nemt sende en privat mail til en person via virksomheds mail,. Du skriver "PRIVAT" i emne. Og i de her smartphone tider, så bør man kunne holde alt det som er privat, og man gerne vil tilgå i arbejdslivet på den.

Vil da mene at det er fuldkommen tåbeligt at bruge samme PC til både privat og arbejde. Ikke kun på grund af sikkerhed, men også at få roddet ens gendannelse konto til steam, gmail battlenet og lignende sammen med ens arbejde ? Ud over den nemmere adskilles af privatliv og arbejde, hvad betyder det så at have 2 pc'er stående. Mange har flere. Vi taler jo ikke om, at man ikke lige kan åbne en browser, og se efter vejret eller høre/se korte nyheder.

  • more_vert
    • insert_linkKopier link
4
Deleted User
7. juni 2018 kl. 13:32

At Udenrigsministeriet har en særlig (ahem) opfattelse af sikkerhed er ingen nyhed. Har du prøvet at gennemtvinge en https forbindelse til um.dk for nylig? Man får godt nok kontakt, men bankes tilbage til en komplet usikker http forbindelse. Det er ingen nyhed. Jeg har personligt “brokket mig” gennem flere år (kan dokumenteres), od enkelte gange modtaget svar, om at det var med i overvejelserne fremover (eller noget i den stil).

Enhver hosted hjemmeside - corner-shop eller hobby webside - har for længst indført brug af certifikater og https tvang. Udenrigsministeriet er stadig udfordret på området. Har checket igen i dag.

Det er endnu ikke lykkedes mig noget sted på kloden at få en https forbindelse til um.dk. Det må - efterhånden - være en bevidst handling fra udenrigsministeriets side, at borgere i nød potentielt kan udsættes for yderligere problemer, hvis udenlandsk aflytning benytter Google Translator på linje med det danske forsvar. De konsekvenser var jo heller ikke ligefrem indlysende heldige.

Udenrigsministeriets svar demonstrerer tydeligt manglen på sikkerhedsforståelse. Og NÅR det en dag går galt, og gutterne fra de bonede gulve er blevet lænset for interne borgeroplysninger- ups-hændelse - vil forklaringen lyde, at det kunne man jo ikke forudse. Man havde jo en gentlemans agreement...

Indstillingen til brugen af personlig mail på arbejdspladsen lugter lidt af, at Fie Longnail Stiletto fra receptionen, har en lidt for god forbindelse til sikkerhedsområdet. Deres forklaring minder lidt om “sikker sex” rådet, der heller aldrig har afholdt (forretnings)rejsende (begge køn) at hive en slem omgang “Sofie eller Gunnar” med hjem som souvenir fra rejsen.

Gad vide om... nå nej, det kan aldrig tænkes, at ansatte i Udenrigsministeriets sikkerhedsafdeling ha en ekstratjans med at sikre et enkelt flow af informationer til eksterne interessenter. Vel?

  • more_vert
    • insert_linkKopier link
3
Kjeld Flarup Christensen
7. juni 2018 kl. 13:28

I realiteten betyder det, at man ikke må bruge privat email på PC-arbejdspladsen, at man ikke må bruge sin arbejds PC privat.

Det betyder også, at man skal have en privat og en arbejds PC stående på skrivebordet hjemme. Og at man skal skifte mellem dem i hele tiden. Det er måske lidt upraktisk når man er PÅ hele tiden. Men så kan det måske være en opfordring til at drosle ned udenfor arbejdstid.

Noget andet er så, er det i orden at bruge arbejds-email løsninger på en privat PC.

  • more_vert
    • insert_linkKopier link
2
Per Larsen
7. juni 2018 kl. 13:27

Hvorfor skulle man følge den, når man nu ved bedre!

Mvh

  • more_vert
    • insert_linkKopier link
1
Jakob Skov
7. juni 2018 kl. 13:19

Det er næppe overraskende at det lige præcis er ministeriet der tilsyneladende ikke har haft styr på deres IT-system i forbindelse med Tibet-sagen og en af de styrelser der ikke kan administrere informationsgivning der gør indsigelse.

Til sundheds-datastyrelsens credit ser det ud til at de har en enorm liste af forbedringer de arbejder med. Bedre sent end aldrig, men man kan også konkludere derudfra at det har sejlet med adgangs-håndtering og at holde programmer opdateret!

  • more_vert
    • insert_linkKopier link