Rigsrevisionen dumper fire statslige institutioners værn mod ransomware

Illustration: mkitina4, BigStock
Både Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen er for dårlige til at beskytte sig mod ransomwareangreb, konkluderer it-revision.

Rettet 22. februar kl. 13:06 med nye oplysninger fra Region Syddanmark

Manglende sikkerhedsopdateringer, ingen whitelistening af programmer, ingen risikovurdering og manglende test af gendannelse af data.

Det skorter ikke på eksempler på manglende it-sikkerhed i en ny undersøgelse, som Rigsrevisionen har gennemført blandt fire statslige organisationer.

Målet var at undersøge deres beskyttelse mod ransomware.

Illustration: Screenshot/Rigsrevisionen

Både Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen er for dårlige til at beskytte sig mod ransomwareangreb, konkluderer Statsrevisorerne på baggrund af den nye beretning fra Rigsrevisionen.

Revisionen har undersøgt, om de fire institutioner opfylder 20 almindelige tiltag, som reducerer risikoen for, at ransomware kommer ind i institutionerne via e-mails.

Valget af tiltag udspringer af anbefalinger i Center for Cybersikkerheds vejledninger 'Reducér risikoen for ransomware' fra 2016 og 'Cyberforsvar, der virker' fra 2017.

Illustration: screendump/rigsrevisionen

Samtlige fire organisationers »beskyttelse mod ransomwareangreb [er] ikke tilfredsstillende«, lyder det.

Statsrevisorerne hæfter sig ved,

  • at forebyggelsen af ransomwareangreb ikke er tilstrækkelig, og at ingen af institutionerne fuldt ud har sikret, at alle deres programmer har de nyeste sikkerhedsopdateringer

  • at ledelsen i Sundhedsstyrelsen og i Banedanmark ikke har dækkende risikovurderinger for truslen fra ransomwareangreb

  • at Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen ikke har reaktive tiltag, der kan sikre, at institutionerne kan genetablere normal drift, efter de er blevet ramt af ransomwareangreb.

Ud af de 20 beskyttelsestiltag har Sundhedsdatastyrelsen ikke opfyldt fem tiltag, f.eks. brug af 2-faktor login ved webmailløsninger eller forhindret brug af private e-mailløsninger, Udenrigsministeriet har også forsømt fem tiltag, f.eks. systematiske test til at genetablere systemer og data, mens Banedanmark har svigtet helt på otte områder, f.eks. opfølgning på awareness-aktiviteter og kun at give tildele lokaladministrative rettigheder, hvis man har et arbejdsbetinget behov.

Beredskabsstyrelsen har ikke opfyldt 2 af de 20 tiltag.

Statsrevisorerne understreger samtidig, at beskyttelse mod ransomwareangreb er en vigtig opgave for alle offentlige institutioner.

Manglende tilgængelighed af data kan forhindre eller gøre det svært at varetage vigtige samfundsmæssige funktioner. F.eks. måtte det britiske sundhedsvæsen i 2017 aflyse operationer og konsultationer med ca. 19.000 patienter som følge af et ransomwareangreb, nævner statsrevisorerne i en kommentar til beretningen.

Statsrevisorerne nævner dog også, at de finder det tilfredsstillende, at alle fire institutioner de seneste 12 måneder har implementeret tiltag, som kan øge deres beskyttelse mod ransomwareangreb.

Eksempelvis har alle institutionerne i løbet af de seneste 12 måneder gennemført aktiviteter med det formål at øge kendskabet til cybertrusler, herunder ransomware, f.eks. oplysningskampagner eller it-kurser. Men undersøgelsen viser dog også, at tre af institutionerne ikke har fulgt op på de aktiviteter, de har sat i gang.

»Det betyder, at institutionerne ikke har tilstrækkelig viden om, hvordan aktiviteterne har virket,« skriver Rigsrevisionen.

Region Syddanmark har i to tilfælde i foråret 2017 været ramt at ransomware-varianten Locky, der har låst for enkelte brugeres adgang til systemet/afdelingsdrev.

I disse tilfælde er der sket en lukning af brugerkonti/berørte drev og dernæst geninstallation fra vores backup.

I en tidligere udgave af denne artikel fremgik det af en faktaboks, som Rigsrevisionen stod bag, at Region Syddanmark blev ramt af WannaCry-angrebet. Det er ikke korrekt, oplyser regionen efterfølgende. Region Syddanmark har i to tilfælde i foråret 2017 været ramt at ransomware-varianten Locky, der har låst for enkelte brugeres adgang til systemet/afdelingsdrev.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
Anne-Marie Krogsbøll

Sundhedsdatastyrelsen.....og alligevel skal vi konstant høre den messende, hypnotiserende sirenesang: "Giv os dine sundhedsdata, du kan være helt tryg. Giv os dine sundhedsdata, du kan være helt tryg."

Har de - og diverse forskere, ministre og andre indblandede - ingen skam i livet? De lyver befolkningen lige op i ansigtet. Hvordan kan man have nogen som helst tillid til dem?

Husk at følge 1. behandlingen af lovforslaget om det nye genomcenter i morgen. Man kunne vel godt forvente, at Rigsrevisionens rapport kom til at indgå i debatten om dette - men nej, det skal vi nok ikke regne med. Den er nok allerede arkiveret lodret.

Lars Skovlund

Man begynder jo at overveje om man skal gribe det an den anden vej rundt. I stedet for at forhindre forskningen i at finde sted, så sørg for at den ikke kan publiceres = ubrugelig. Tag kontakt til div. videnskabelige tidsskrifter og fortæl hvad det er Danmark er i færd med at gøre. Hvis verdenssamfundet får fornemmelsen af at dansk forskning nu udføres uden respekt for borgerrettigheder, så vil det forhåbentlig føre til at ingen vil røre disse datakilder med en ildtang. Det løser ikke de ikke-forskningsrelaterede problemstillinger, men det er dog noget.

Henning Mølsted Journalist

Jeg har opdateret artiklen med, at institutionerne de seneste 12 måneder fx har gennemført oplysningskampagner for medarbejderne.
Sådanne tiltag finder statsrevisoerne tilfredsstillende. Men det fremgår også at tre ud af fire enheder ikke har fuldt op på, om tiltagene virker...

Henning Mølsted, redaktør.

Anne-Marie Krogsbøll

Claus Juul:

Efter skimning synes jeg ikke, at billedet er mere positivt. Der er gennemført nogle forbedringer, som er positive. Men der er - som jeg læser det - stadig bekymrende mange huller, som jeg ikke forstår, man ikke får styr på. Faktisk synes jeg nærmest, at jeg blev mere bekymret.

Hvad er det, jeg overser, som du har hæftet dig ved?

Anne-Marie Krogsbøll

Kære Claus:

Ja, der er nuancer, og jeg vil da nødigt være unfair overfor Sundhedsdatastyrelsen (det er dem, jeg lige her har fokus på) - men som borger forventer jeg simpelthen, at de har styr på det hele, når staten mener at have ret til at tvangshente eller fralokke borgernes privatliv og opbevare dem der. Det har de så langt fra - noget af det lyder ret amatøragtigt. Et par eksempler - langt fra de eneste:

"Banedanmark og Sundhedsdatastyrelsen har væsentlige mangler, fordi der er medarbejdere ud over it-supporterne, som har adgang til computere med lokaladministratorrettigheder. Med lokaladministratorrettigheder er det muligt at deaktivere tiltag på den lokale computer. Derfor udgør det en øget risiko, hvis antallet af medarbejdere med disse rettigheder er stort, fordi der dermed er flere ”indgange” for hackere. Det betyder, at der er øget risiko for, at hackere kan kompromittere institutionens computere og afvikle skadelige programmer, som potentielt kan sprede sig og skade dele af eller hele institutionens netværk."

"Sundhedsdatastyrelsen og Banedanmark har ikke en systematisk tilgang til sikkerhedsopdateringer, som omfatter alle relevante programmer. Vores gennemgang viser, at der i begge institutioner var flere relevante programmer, som ikke var blevet sikkerhedsopdateret i flere år. Nogle af de programmer, der blev undersøgt, har mange kendte sårbarheder. Det øger risikoen for, at ransomwareangreb kan ramme institutionerne. Sundhedsdatastyrelsen har oplyst, at styrelsen har en central løsning til systematisk sikkerhedsopdatering af programmer, men at styrelsen har lokalt installerede programmer, der ikke er blevet opdateret."

I mine øjne er det meget bekymrende, at det er niveauet i en institution, som håndterer enorme mængder af hyperfølsomme persondata, og som påstår at have godt styr på sikkerheden.

Mads Bendixen

Ja, der er nuancer, og jeg vil da nødigt være unfair overfor Sundhedsdatastyrelsen (det er dem, jeg lige her har fokus på) - men som borger forventer jeg simpelthen, at de har styr på det hele, når staten mener at have ret til at tvangshente eller fralokke borgernes privatliv og opbevare dem der. Det har de så langt fra - noget af det lyder ret amatøragtigt.


Det er muligt du forventer det, men det gør resten af befolkningen ikke. De vil hellere have lavere skat eller bedre børnepasning eller billigere biler eller flere hjemmehjælpere eller (fortsæt selv). De vil have funktioner og resultater, ikke mere bureaukrati, som sikkerhedskontroller dybest set er.

Sikkerhed er dyrt, meget dyrt. Derfor er alle glade, hvis man kan "nøjes" med tillid, fordi det er billigt.

Se blot på hvorledes Datatilsynet er blevet negligeret i mange år - og stadig bliver det, selvom GDPR træder i kraft.

Anne-Marie Krogsbøll

I så fald skal man jo bare ikke love befolkningen, at man har styr på tingene, Mads Bendixen. For det er jo løgn. Hvis befolkningen tænker, som du siger, kan man jo ærligt sige " Vi vil gerne have jeres data - vi vil faktisk direkte kræve dem. Vi har ikke styr på en sk...., men det er jo heller ikke vigtigt"..

I øvrigt er det jo ikke særligt effektivt i det øjeblik, systemet faktisk bliver hacket/afkrævet ransom. Og det fremgår, at det faktisk er sket indtil flere gange for Sundhedsdatastyrelsen bare indenfor de seneste par år.

Jakob Skov

Problemet med kun at nøjes med "tillid" er at alle de samfundsmæssige og demokratiske piller tilliden bygger på bliver revet med i købet. Ie. Det er logisk at antage at tavshedspligt hos lægen ikke kan eksistere uden en sikring imod uvedkommen adgang (Det ligger i ordet tavshedspligt). Mens man på kort sigt får rigtig god valuta for dataene er mellem-sigt tvivlsomt idet anvendelsesmuligheder for åbne data ikke fundamentalt er god eller ond. Men på lang sigt vil problematiske anvendelser opstå og da internettet aldrig glemmer, står man med lorten fra fortidens synder og et samfund hvor tillid ikke længere kan bygges på lov.

Peter Stricker

Der er mange detaljer i beretningen som ikke står i konklusion og der er endnu flere detaljer i revisions rapporterne end der er i beretningen.


Det er på ingen måde overraskende, at en konklusion ikke indeholder alle detaljer fra den beretning, den konkluderer på.

Men du er ikke kommet med et eneste eksempel på de udeladelser der skulle give et andet indtryk end denne artikels overskrift.

Claus Juul

du er ikke kommet med et eneste eksempel på de udeladelser der skulle give et andet indtryk end denne artikels overskrift.

Det har jeg heller sagt jeg ville. Det er bare ikke fair at dømme nogen, uden at have læst og forstået, hvad der ligger til grund.

Læserne af version2 er trods alt bedre teknisk funderet end mange andre, og kan bedre danne sig et billed af helheden I stedet for at hæfte sig ved overskrifter.

Anne-Marie Krogsbøll

Kære Claus Juul.

Nu kan jeg ikke prale af at være bedre teknisk funderet end mange andre :-)

Men jeg kan dog godt få fornemmelse af niveauet, når det f.eks. fremgår, at lokaladministratorrettigheder sidder lidt rigeligt løst, og at flere programmer (dog ikke systemprogrammerne) ikke har været sikkerhedsopdateret i flere år. Det er jo den slags, som det vel burde være ret nemt at få styr på - vis man ellers tog det alvorligt?

Jesper Frimann

Denne beretning handler om, hvorvidt udvalgte, samfundsvigtige statslige institutioner har en tilfredsstillende beskyttelse mod ransomwareangreb.

Nu er ransomware jo et meget specifikt angreb.
Man (eller jeg gør i det mindste) sidder lidt tilbage med fornemmelsen.. Ja, nu har i checket et udvalg af institutioner, for en enkelt specifik trussel og en enkelt specifik måde at deploy'e den trussel på, efter nogle kriterier hvor baren ikke er sat særlig højt, og I har fokuseret på data availability. I har f.eks. IKKE set på det aller vigtigste. Som er tyveri af data. Når data først er 'derude' er der en rimelig stor sansynlighed for at der er sket permanent skade for den institution, person eller virksomhed, som det drejer sig om.
Institutionens adgang til Data og mulighed for kunne genskabe data er da ekstrem vigtig. Men det er datatyveri altså også.

Som der står i rapporten:

Undersøgelsen fokuserer på ransomware, der kommer ind via e-mails, da det på revisionstidspunktet var den mest anvendte metode. Ud over e-mails kan ransomware også kompromittere institutioner ved hjælp af andre angrebsflader, fx en hjemmeside. Vi har ikke undersøgt institutionernes beskyttelse mod angreb fra andre flader end e-mails. Dog
kan nogle af de ydre og indre tiltag også reducere risikoen for angreb, der kommer ind via fx internettet eller usb-stik. Ligeledes kan de
reaktive tiltag også anvendes i tilfælde af andre typer malware eller hændelser, hvor data og systemer er udsat. Derudover skelner
undersøgelsen ikke mellem forskellige typer ransomwareangreb
såsom angreb, hvor andet malware også tages i brug, fx til tyveri af data.

Jeg synes der er for meget, nu er det ransomware der er oppe i medierne. Jeg havde hellere set en generel revision af sikkerheden, med forslag til tiltag der kunne løfte IT-sikkerheden til et højt niveau.

// Jesper

Andy Fischer

Det virker som om de fleste kommentatorer herinde ikke har erfaring med teknisk compliance, eller audit. Der findes ikke en eneste virksomhed, hverken privat eller offentlig, som vil være i stand til at levere fuld compliance med alle tiltag i de nævnte vejledninger. I hvert fald ikke hvis de skal kunne arbejde, og hvis antallet af medarbejdere skal holdes på et fornuftigt niveau, så skatten ikke skal stige eksponentielt. Prøv at lave samme audit hos private virksomheder, så skal I bare se manglende compliance.

Bjarne Nielsen

Prøv at lave samme audit hos private virksomheder, så skal I bare se manglende compliance.

Nu er der, såvidt jeg ved, ikke nogen private virksomheder, som med loven i hånden, påtænker at indsamle og sekventiere vores genom helt generelt og uden at spørge.

Når man bruger magt, så bliver kravene til at man gør det ordentlig også så meget større.

...og i øvrigt så undskylder den ene synd ikke den anden.

Andy Fischer

Nu er der, såvidt jeg ved, ikke nogen private virksomheder, som med loven i hånden, påtænker at indsamle og sekventiere vores genom helt generelt og uden at spørge.


Måske ikke, men der er private virksomheder som laver en væsentlig mere dækkende og præcis overvågning af de enkelte borgere, og i mange tilfælde uden at gøre opmærksom på det.

Hverken du eller jeg ved hvilken trussel der ender med at blive den største, den dag lortet rammer. Bliver det lækket sundhedsdata og genom-information, som trods alt kræver et stort apparat for at kunne bruge, eller bliver det lækket lokations- og indkøbsdata, som kan bruges af den simpleste tyv.

Personligt er jeg mindre nervøs for, at mit genom bliver offentligt kendt, eller at folk finder ud af, at jeg har en kronisk sygdom, end for at Dansk Supermarked eller COOP offentliggør min komplette, identificerbare, købshistorik for de sidste par år. Det sidste kan gøre ufattelig meget mere skade for de fleste mennesker.

Jesper Frimann

Det virker som om de fleste kommentatorer herinde ikke har erfaring med teknisk compliance, eller audit.

Øh jo. På flere leder, kanter og niveauer.

Og du har ret. Audit og revision bringer IMHO meget lidt værdi, for det offentlige i Danmark. Mest fordi de ting, man skal være 'compliant' i forhold til er både talrige, snævre, detaljerede, brede og generelle på samme tid.

Der er IMHO alt for meget CMA over den måde man bruger revision og audit på i især i det offentlige.

Hvis vi ser på f.eks. CFCS's vejledning fra Maj 2016 'Reducer risikoen for ransomware', som er det dokument der laves auditeres i forhold til.

https://fe-ddis.dk/cfcs/publikationer/Documents/Ransomware_maj2016.pdf

Ud over at det er et meget tyndt dokument, ikke at de ting der står i det ikke er rigtige og relevante, så er det både meget snævert (det handler om en enkelt sikkerheds trussel)
det er også meget detaljeret og specifikt:

Overvej at deaktivere mulighederne for afvikling af JScript-filer på Microsoft Windows systemer.

meget bredt og generelt:

Etablér et hurtigt overblik over hvilke systemer og data, der er ramt. Især er det vigtigt at fastslå, hvornår det er sket.

Og lad os slet ikke komme igang med ISO 27001 m.fl.

IMHO er det en bekostelig CMA øvelse, som ikke bringer ret meget værdi, og som kun er nødvendig fordi du har en katastrofal mangel på en central offentlig IT-arkitektur funktion med en f.eks. virtuel organisation forankret i hver offentlige myndighed og institution.
En struktur der kan sikre at de nødvendige arkitektoniske tiltag der kan sikre en ordentlige IT sikkerhed implementeres, og at der laves Governance på en sådan.

Tja ja...
// Jesper

Klavs Klavsen

Sikkerhed er dyrt, meget dyrt. Derfor er alle glade, hvis man kan "nøjes" med tillid, fordi det er billigt.

Arghh.. At få styr på sikkerhedsopdateringer burde sku være et minimum. Microsoft har vel stadig WSUS - hvor man kan køre det hele i - og alt MS kører jo 100% automatisk.
På Linux er det endnu simplere.. Det er bare et spørgsmål at få opsat en procedure - så man evt. opdaterer test systemer, dernæst 50% af produktion, dernæst den sidste halvdel - så man kan nå at "stoppe op" - hvis der er en opdatering der giver problemer.

Det er ikke rakatvidenskab.

Klavs Klavsen

Men det dækker kun Microsoft produkter. Ikke 3. parts produkter, som du kan på Linux (hvis det findes i repo).

Det er faktisk ikke korrekt.
Mange andre har allerede distribution via wsus - og ellers så kan man bare sætte sit eget op: https://github.com/DCourtel/Wsus_Package_Publisher

Eller installere en ordentlig package manager som cholatey og pakke sine ting ind i det - og få "the linux experience" :)

Anne-Marie Krogsbøll

Personligt er jeg mindre nervøs for, at mit genom bliver offentligt kendt, eller at folk finder ud af, at jeg har en kronisk sygdom, end for at Dansk Supermarked eller COOP offentliggør min komplette, identificerbare, købshistorik for de sidste par år. Det sidste kan gøre ufattelig meget mere skade for de fleste mennesker.


Det må du godt uddybe, Andy, det har jeg lidt svært ved at forstå. Jeg kan sagtens forstå din bekymring for virksomheders profilering - men det understreger da bare farerne ved i uheldige tilfælde af læk også at kunne samkøre med sundheds/genomdata - som i øvrigt fuldt lovligt efter ansøgning kan indgå i medicinalfirmaers profilering af borgere. Det er jo ikke sådan, at der kommer til at stå "Virksomheder ingen adgang" på genomcentret, så vidt jeg har forstået .

Michael Christensen

Det overrasker mig ikke, at tilstanden er som den er. Sikkerhed har været prioriteret lavt generelt i både virksomheder og i det offentlige. Jeg har holdt forskellige seminarer om GDPR, og virksomheder og institutioner bliver ramt af fortiden synder, når de skal være compliant med den nye lovgivning. Var du compliant før, så er skridtet ikke så langt til at tage den nye lovgivning om bord, men når du har negligeret det før, så er der et ordentligt gap, der skal lukkes.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017