Rigsrevisionen: Markant hacker-risiko i Region Syd med admin-rettigheder til 27.000 ansatte

15. november 2017 kl. 17:4638
Opdateret. Tusindvis af ikke-opdaterede XP-computere, for dårlige passwords og rundspredning af admin-rettigheder. Det står sløjt til med it-sikkerheden i regionerne, viser ny beretning fra Rigsrevisionen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Region Syddanmark forsømmer at beskytte it-systemer, der indeholder sundhedsdata om borgerne, mod hacking og andre cyberangreb.

Det viser fremgår af en ny beretning fra Rigsrevisionen.

Samtlige 27.000 medarbejdere i Region Syddanmark har nemlig lokaladministratorrettigheder, dvs. særlige rettigheder og dermed fuld adgang til og kontrol med it-systemerne.

I kombination med en 'mangelfuld' styring af, hvem og hvor mange der har priviligerede rettigheder (domænerettigheder) er problemet, at hackere i værste fald kan overtage et medarbejderlogin med et angreb og dermed få vide beføjelser i systemerne, fordi de har fuld adgang til og kontrol med it-systemerne.

Artiklen fortsætter efter annoncen

»Et hackerangreb mod disse medarbejdere vil give hackeren samme adgang og kontrol,« skriver Rigsrevisionen.

Styringen af admin-rettigheder er 'særligt kritisk', konstaterer statsrevisorerne i deres bemærkning.

»Hermed udsætter regionen sig for en markant øget risiko for, at medarbejdere – bevidst eller ubevidst – installerer og afvikler skadelige programmer på deres computere, som kan sprede sig og kompromittere regionens netværk,« skriver Rigsrevisionen.

Truslen er ikke teoretisk. Region Syddanmark har været udsat for flere angreb – senest i maj og juni 2017, hvor 20-30 medarbejdere blev låst ude af deres computere.

Også sløs med it-sikkerhed i andre regioner

Men den er ikke alene gal med beskyttelsen af sundhedsdata i Region Syd. Også Region Hovedstaden og Region Midtjylland er undersøgt, og alle steder er der fundet fejl og mangler i beskyttelsen af data. De tre regioner dækkker ca. 4,3 mio. af landets ca. 5,7 mio. borgere.

Artiklen fortsætter efter annoncen

»Det er Rigsrevisionens vurdering, at beskyttelsen af adgangen til it-systemer og sundhedsdata ikke er tilfredsstillende i de 3 regioner,« skriver Rigsrevisionen.

Det er langt fra første gang, at regionerne udviser tegn på ringe it-sikkerhed. Datatilsynet har tidligere kritiseret, at regionerne forsømmer at sikre, at deres underleverandører passer godt nok på vores data.

Og Version2 har for nylig omtalt, at brugernavne og kodeord på medicinsk udstyr og online-sundhedstjenester har ligget frit tilgængelige i Region Hovedstadens såkaldte ‘wiki’; dokumentsystemet VIP. Den sag er endnu et eksempel på et problem, som flere kritikere har peget på: at der er behov for en opstramning af sundhedsvæsenets datasikkerhedskultur.

Det manglende sikkerhedsindsats er alvorlig, for i takt med den øgede digitalisering i regionerne og samfundet i øvrigt vokser truslen mod regionernes it-systemer og data, hvilket stiller større krav til it-sikkerheden, lyder det fra Rigsrevisionen.

»Regionerne er truet af udefrakommende hackerangreb, ligesom medarbejderne i regionerne kan udgøre en risiko, hvis de bevidst eller ubevidst misbruger deres adgang til it-systemer og data,« skriver Rigsrevisionen i beretningen.

Mange XP-maskiner

I Region Hovedstaden har man ca. 800 computere med Windows XP på netværket, som ikke længere sikkerhedsopdateres. Regionen har dog oplyst, at computerne er beskyttet bag ekstra firewalls.

Region Midtjylland har ca. 7.000 computere med Windows XP og ca. 250 servere med et operativsystem, som producenten ikke længere supporterer. Regionen har dog etableret kompenserende foranstaltninger, fx begrænsning af afvikling af programmer, der bidrager
til at mindske risikoen for inficering med malware.

I både Region Syddanmark og Region Hovedstaden har passwords til system- og servicekonti ikke været skiftet i lang tid – op til 9 år.

Artiklen fortsætter efter annoncen

Og i Region Syddanmark er to ud af tre passwords til system- og servicekonti fra 2008, og passwordene er kun på otte karakterer.

Mangelfuld begrænsning af internetadgang

I alle regioner er 'styring og kontrol af medarbejdere med privilegerede rettigheder mangelfuld, herunder er der utilstrækkelig begrænsning af muligheder for at tilgå internettet, når der logges på med privilegerede rettigheder,' konstaterer statsrevisorerne..

»De tre regioner bør generelt være bedre til at styre og kontrollere medarbejdere med privilegerede rettigheder, fx ved løbende kontrol af, hvilke medarbejdere der skal have disse rettigheder,« skriver Rigsrevisionen i beretningen.

Desuden bør regionerne begrænse medarbejdernes mulighed for at gå på nettet, når de logger på med de privilegerede rettigheder.

»Når det sammenholdes med, at ingen af de 3 regioner i tilstrækkelig grad begrænser medarbejdernes mulighed for at downloade programmer, medfører det en øget risiko for, at medarbejderne uforvarende henter og åbner skadeligt indhold, der inficerer it-systemerne
og udsætter sundhedsdata for fare,« skriver Rigsrevisionen.

Endelig er alle 3 regioners logningstiltag er mangelfulde, hvilket gør det vanskeligt at opdage og opklare hackerangreb og misbrug af rettigheder.

Region Midtjylland har ikke implementeret nogen af de undersøgte logningstiltag, selv om regionen har udarbejdet en politik for området.

Rigsrevisionen har selv taget initiativ til undersøgelsen, der bygger på it-revisioner, som Rigsrevisionen har udført i 1. halvår 2017.

Hent den fulde beretning (PDF) her.

38 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
38
20. november 2017 kl. 13:20

Dette er en personlig udtagelse og en udtagelse på egne vegne.

Jeg kan ikke genkende de ting der nævnes i artiklen, men hvis artiklen havde ret syntes jeg, at det er utroligt, at ikke mere end 20-30 medarbejdere, som det også nævnes i artiklen, er blevet låst ude af deres computere i maj og juni 2017.

Låst ude bliver man, hvis man for mange gange inden for en given tid indtaster forkert adgangskode.

Det er virkeligt et godt bevis for sikkerhedsniveauet, hvordan var det lige Mærsk blev ramt og hvorfor blev regionerne ikke ramt hårdere under wannacry?

37
17. november 2017 kl. 18:41

følge højesteret og ombudsmanden kan man ikke skjule eller undskylde sin egen faglige inkompetence under den såkaldte tavshedspligt.

Suk.. retssystemet (Højesteret og Ombudsmanden) er ikke tilstede på nogen arbejdsplads, og derude i virkelighedens verden hersker enten en aftalt del og hersk rolle eller i værste fald jungleloven.

Teori samt §'er er fine, nødvendige ifm. forsøget på at blive civiliseret, men hvis Højesteret, Ombudsmanden, Politi m.fl. ikke kan sikre mod konsekvenserne, så er teori samt §'er i en række tilfælde mest for naive hattedamer.

Den samme problematik eksister ifm. vidner, der i visse retssager har "hukommelsestab" eller et dårligt utroligt syn.. "de så sør'm intet som helst".

Derudover burde diverse uduelige it-direktører og mellemledere hældes ud på røv og albuer.

Enig, det ville blive en god start.

33
17. november 2017 kl. 07:45

Samt for dem der ikke ved det, så er der noget der hedder at man underskriver et tavshedsløfte.

Højesterets dom og Folketingets Ombudsmands udtalelse understreger, at offentligt ansatte har en vidtgående ret – og undertiden pligt – til at ytre sig om forhold på arbejdspladsen, som de finder kritisable.

Lidt et catch 22, må man sige. Sådan set er det vel fair nok, at man har tavshedspligt vedr. ting, som direkte kan bringe sikkerheden i fare - men er det kun den slags, man set fra ledelsens side ikke må udtale sig om?

Karsten Jørgensen:
De sidste 2,8% skyldes snarere lokale specialbehov til afviklingen af EPJ, som det tager lidt længere tid at imødekomme på Citrix.

Er det så et sikkerhedsproblem - eller betyder det ikke noget? Og er evt. tidsforbrug en gyldig begrundelse for evt. at tilsidesætte sikkerheden?

Under alle omstændigheder er der mange gode grunde til at få oprettet whistleblowerordninger - selv om ledelsen jo ofte er klar over forholdene i forvejen (og selv er ansvarlige for dem). Men så kan det i det mindste dokumenteres, at de har vidst det. Noget andet er så, at whistleblowerordninger nok ikke altid er nok til at undgå, at whistlebloweren kan identificeres - der er måske ofte tale om små faglige miljøer.

Men for at følge op på Jonas Jacobsens forslag: Kan man ikke få sat fokus på, hvor mange midler der rent faktisk sættes af til it- og datasikkerheden ift. andre områder?

32
17. november 2017 kl. 07:14

Tager man Region Midt, så har de Citrix adgang og der er på sin vis godt, for Citrix miljøet er lettere at sikre. Problemer et blot at der ikke er kapacitet nok i det, og at der derfor står masser af seperate computere på hospitalerne og kører EPJ klienter.

Jeg er performance engineer på MidtEPJ, så jeg kan fortælle at i de seneste 7 dage er 97,2% af al MidtEPJ-aktivitet blevet afviklet på vores Citrix-servere.

I det omfang, der stadig kører EPJ-klienter lokalt på pc'erne, er det ikke pga. kapacitetsproblemer i Citrix-miljøet. De sidste 2,8% skyldes snarere lokale specialbehov til afviklingen af EPJ, som det tager lidt længere tid at imødekomme på Citrix. Men jeg ved, at nogle af mine kolleger fortsat arbejder på, at vi kommer tættere på at 100% af MidtEPJ kører på Citrix :o)

31
16. november 2017 kl. 23:19

Den slags finder man også i det private. Forskellen er blot, at her er det en kæmpeorganisation der rammes når den rammes. Og at det vrimler med fortrolige oplysninger.

Omvendt så burde organisationen have ressourcer nok til at arbejde med de her ting.

Tager man Region Midt, så har de Citrix adgang og der er på sin vis godt, for Citrix miljøet er lettere at sikre. Problemer et blot at der ikke er kapacitet nok i det, og at der derfor står masser af seperate computere på hospitalerne og kører EPJ klienter.

30
16. november 2017 kl. 21:57

I følge højesteret og ombudsmanden kan man ikke skjule eller undskylde sin egen faglige inkompetence under den såkaldte tavshedspligt.

Citat: Højesterets dom og Folketingets Ombudsmands udtalelse understreger, at offentligt ansatte har en vidtgående ret – og undertiden pligt – til at ytre sig om forhold på arbejdspladsen, som de finder kritisable.http://www.horten.dk/Viden/Artikel%202016/Ny-praksis-om-offentligt-ansattes-ytringsfrihed

Derudover burde diverse uduelige it-direktører og mellemledere hældes ud på røv og albuer.

29
16. november 2017 kl. 21:48

Jeg syntes ikke du kan antage dette. IT sikkerhed handler i høj grad om hvad ledelsen ønsker eller afsætter ressourcer til.

Begge dele eksister da hånd i hånd.. de gode samt sikkerhedsbevidste søger ikke jobbet eller fordufter hurtigt igen, de resterende bliver med tiden udvandet til "en bestemt kultur - som Herren så hunden" ;)

Som andre nævner, så skal der både 1) penge, og 2) det faglige mandskab til, samt 3) datasikkerhed forankret højt oppe i organisationen. Plus 4) uvarslet ekstern kontrol sikre ledelsen, at alt er i orden.

Og alle tre skal virke 24/7. Den 4. er desværre nødvendig for at ledelsen undgår, at både penge og arbejdsindsats er spildt.

De fleste steder har vel kun et par stykker af de tre førstnævnte på lystavlen i en let (meget let) version, samt den 4. eksister åbenlyst ikke. Derfor kan Rigsrevisionen m.fl. gang på gang sukke og sukke uden der sker meget andet end lidt paper-pushing.

28
16. november 2017 kl. 21:20

Vi har forladt det offentlige, os der snakkede højt blev presset ud af ledelsen

Ja den trafik er velkendt visse steder. Samt for dem der ikke ved det, så er der noget der hedder at man underskriver et tavshedsløfte.

Det er særdeles udbredt overalt, samt også ifm. eksterne konsulenter m.fl. Afhængigt af situationen kan samme person have mere end et tavshedsløfte, der er aktive.

Og ja - tavshedsløfter gælder gerne også, efter at personer fratræder stillingen, går på pension etc.

26
16. november 2017 kl. 17:37

God forklaring, Michael Rasmussen. Men trist.

25
16. november 2017 kl. 17:34

Og det er svært at forstå argumentet om manglende penge, når man samtidig sætter masser af penge af til nye initiativer, som kun kan komplicere tingene yderligere.

Det følger da af, at den moderne leder ansættes til at sætte skibe i søen, så de bliver målt på antallet af skibe under bygning i dokken, og ikke på nuværende skibes sejlbarhed, og om de over hoved taget er i stand til at flyde. Ansvaret for skibe i drift påhviler tidligere ledere, hvilket følger af paradigmet bag åremålsansættelser!

24
16. november 2017 kl. 15:47

Dette er et ledelses-problem. Version2 burde tage fat på den øverste ledelse i regionerne og spørge, hvordan de tror, at de kan få IT-sikkerhed, når de har 1/10 af budget i forhold til Danske Bank eller Nordea, som er på samme størrelse som dem.

Hørt!! Jonas Jacobsen. Og det er svært at forstå argumentet om manglende penge, når man samtidig sætter masser af penge af til nye initiativer, som kun kan komplicere tingene yderligere. Eks. har Region Hovedstaden for kort tid siden sat flere millioner af til et udviklingssamarbejde omkring Watson Healths indtog i Region Hovedstaden og Sundhedsplatformen. Vel vidende, at der er lang vej til, at Watson kan bidrage med noget positivt, og at man må slå mange knuder på sig selv undervejs for at imødekomme Watsons behov for kapital og persondata.

Watson er selvfølgelig lidt mere sexet at profilere sig på for direktions- og regionstoppen end ordentlig datasikkerhed. Men det må frem i lyset, at man hele tiden prioriterer det sexede over det kloge, som ligesom bare skal være i orden og virke.

Der burde indføres stop for nye initiativer på det felt, indtil man har fået styr på de systemer, man allerede har.

22
16. november 2017 kl. 14:13

Jeg vil hellere sige Manglen på Respekt i forhold til faglighed og forkert prioritering fra politikere og 'Administrationen'.

Når man kan bruge så mange penge på en stor omfangsrig administration med alle mulige afdelinger, hvor man sidder og tænker.. Hva' faen skal de til for. Afdelinger med direktører og afdelings chefer garanteret på gode åremåls kontrakter og og og .. Så burde der jo være penge nok.

// Jesper

21
16. november 2017 kl. 13:58

Det er ikke rar læsning og alle alarmklokker ringer. Med rejsen mener jeg turen mod systematisk brug af jumpservere ved tilgang til produktionsmiljøer, to-faktor brug, en Vault og hjælp til at øge passwordkompleksitet, hyppig rotation af passwords - reduktion af antal administrative konti, stærkere overvågning af miljøet - måske også mere intens uddannelse af medarbejdere og modning af processerne omkring styring af adgange. Det er en rejse som det er den dødssynd ikke at få startet - og så må de jo prioritere. Selv den længste rejse starter med det første skridt, så det er bare om at komme i gang.

20
16. november 2017 kl. 13:14

Jeg har afholdt møder med de fleste regioner om IT-sikkerhed. Fælles for dem alle sammen er, at de ikke har nogen penge. Der sidder dygtige teknikere og viljen er til stede - de er også fuldt ud bevidste om, hvor slemt det står til.

De har bare ikke en bukket fem-øre til at indkøbe noget som helst. Ved et af mine sidste møder sagde de, at de måske kunne finde kr. 30.000,00. og hvad vi kunne levere for det.

Dette er et ledelses-problem. Version2 burde tage fat på den øverste ledelse i regionerne og spørge, hvordan de tror, at de kan få IT-sikkerhed, når de har 1/10 af budget i forhold til Danske Bank eller Nordea, som er på samme størrelse som dem.

18
16. november 2017 kl. 12:19

Tro mig, det sker også i det private :)</p>
<p>// Jesper

Eksakt. Man skal "bare" makke ret og ikke være kritisk. Gør som der bliver sagt og lad være med at koncentrere dig om alt andet end det du er sat til.

Problemet er bare at den ansvarlige medarbejder holder ikke sin kæft. Det ryger man så ud af. Det er >ikke< politisk korrekt at påvise sådanne ting og "råbe op".

Og ja, det er ligeså slemt i mange store virksomheder....

17
16. november 2017 kl. 12:11

Man bør spørge sig selv om regionerne egentlig har et problem med it-sikkerheden da den jo ikke findes og man kan jo ikke have noget problem med noget der ikke er der....

12
Redaktionschef -
16. november 2017 kl. 09:08
Redaktionschef

Jeg har også læst ned i teksten - og justeret artiklen en smule. Alle tre regioner har en mangelfuld styring af hvem og hvor mange ansatte der har domænerettigheder. Så konklusionen er den samme.

Men tak for din årvågenhed.

11
16. november 2017 kl. 08:43

Nu har jeg læst et par afsnit mere.

I punkt 3 handler det om Domain Admin eller tilsvarende, det må være en henvisning til de resultatet der er i tabel 3, med tilhørende tekst.

i konklusionen står der lokal admin, hvilket må omhandel resultatet i tabel 2.

10
16. november 2017 kl. 08:16

@Henning: Jeg har det ikke fra rapporten.

@Martin: Du har en pointe vedr. def. i ordlisten. der må være sneget sig en fejl ind, vil jeg mene.

9
16. november 2017 kl. 07:59

Claus er nu ikke helt forkert på den, brugerne er lokal administratorer, hvilket i sig selv ikke er nogen god idé, og åbner for nogle grimme muligheder lokalt på pcerne. Men den tekst i snakker om her omhandler de privilegerede brugere, om defineres i ordlisten som domain admins.

Privilegerede rettigheder "Det højeste niveau af rettigheder, adgang og kontrol over institutionens it-systemer og data. Desuden kan de privilegerede rettigheder give mulighed for at omgå institutionens sikringsforanstaltninger. I nogle tilfælde kan de privilegerede rettigheder – afhængigt af institutionens systemopbygning – også give adgang til andre væsentlige it-systemer og data. Privilegerede rettigheder betegner i denne beretning de it-medarbejdere og/eller system- og servicekonti, der er medlem af ”Domain Admins-gruppen” i AD. "

8
Redaktionschef -
16. november 2017 kl. 07:42
Redaktionschef

@Claus: Hvor har du definitionen 'domainrettigheder' fra i RR rapporten?

6
16. november 2017 kl. 06:57

Og alle disse usikre arbejdspladser skal selvfølgelig have adgang til vores nye DNA register? What could possibly go wrong?

5
16. november 2017 kl. 05:52

...nogen whistleblowere. Hvor er de kyndige It-folk i regionerne, som jo må vide alt om tingenes elendige tilstand, og som burde råbe op?

Og har Rigsrevisionen og Datatilsynet ikke udgivet sådanne rapporter før med nøjagtigt samme konklusioner? Hvad er forklaringen på, at der intet sker? Beslutningstagerne skal i gabestokken.

Og hvad mon der sker, når GPDR træder i kraft? Ingenting? Som sædvanligt?

4
15. november 2017 kl. 22:50

Kære Henning

Den tekst stammer fra lige før konklusionen.

Logisk nok giver lokaladminrettigheder ikke automatisk privilegeret adgang til andet end den lokale maskine.

Den tekst du henviser til, handler om domain admin eller tilsvarende rettigheder, herunder styring og kontrol med disse rettigheder.

3
Redaktionschef -
15. november 2017 kl. 22:37
Redaktionschef

Det fremgår ikke helt, om du mener at jeg som journalist eller Rigsrevisionen 'antager' noget. Men i hvert fald skriver Rigsrevisisionen i beretningen om nye nødvendige sikringstiltag:

"Det gælder særligt i forhold til de medarbejdere, der har privilegerede rettigheder og dermed fuld adgang til og kontrol med it-systemerne, idet et hackerangreb mod disse medarbejderevil give hackeren samme adgang og kontrol."

Henning Mølsted, redaktør.

2
15. november 2017 kl. 20:36

Samtlige 27.000 medarbejdere i Region Syddanmark har nemlig lokaladministratorrettigheder, dvs. særlige rettigheder og dermed fuld adgang til og kontrol med it-systemerne.</p>
<p>Problemet er, at lykkes det hackere at overtage et medarbejderlogin med et angreb får angriberen vide beføjelser i systemerne og kan misbruge data. I praksis giver det fuld adgang til og fuld kontrol over it-systemerne.

Det der er tilgengæld noget af en antagelse. Jeg tvivler på systemerne er skruet således sammen, at en lokal administrator på en pc f.eks. har "fuld adgang og fuld kontrol" i f.eks. et EPJ-system.

1
15. november 2017 kl. 20:22

</p>
<ul><li>
<p>Samtlige 27.000 medarbejdere i Region Syddanmark har nemlig lokaladministratorrettigheder..</p>
</li>
<li>
<p>Desuden bør regionerne begrænse medarbejdernes mulighed for at gå på nettet, når de logger på med de privilegerede rettigheder.</p>
</li>
<li>
<p>I både Region Syddanmark og Region Hovedstaden har passwords til system- og servicekonti ikke været skiftet i lang tid – op til 9 år.</p>
</li>
<li>
<p>Og i Region Syddanmark er to ud af tre passwords til system- og servicekonti fra 2008, og passwordene er kun på otte karakterer.</p>
</li>
<li>
<p>Region Midtjylland har ikke implementeret nogen af de undersøgte logningstiltag, selv om regionen har udarbejdet en politik for området.

Her i 2017 er medarbejderne stadig uvidende, mangler efteruddannelse, ikke sikkerhedsbevidste, uansvarlige og åbenlys inkompetente til at beskytte **it-**systemer og **vores it-**sundhedsdata.

Datatab? antageligt, da de kan luskes ud, men med Wild Vest tilstande så.. nobody will ever know !!