Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

Illustration: REDPIXEL.PL/Bigstock
OPDATERET 17:30 Passwords fra slutningen af 90'erne er blot et af mange eksempler på alvorlige fejl og mangler i adgangsbeskyttelsen til seks statslige it-systemer, som indeholder vitale data for samfundsdriften eller følsomme persondata. Det fremgår af en ny beretning fra Rigsrevisionen.

Den er helt gal med adgangen til data hos Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT, konkluderer en ny beretning fra Rigsrevisionen.

»Ingen af de 6 undersøgte institutioner har håndteret de udvidede administratorrettigheder med den nødvendige professionalisme,« skriver Rigsrevisionen i en spritny rapport og sætter dermed spot på såkaldte udvidede administratorrettigheder, som betegner det højeste niveau af rettigheder, adgang og kontrol over it-systemer og data.

Problemet er, at mangelfuld styring og kontrol af de udvidede administratorrettigheder betyder, at personer uretmæssigt kan få adgang til statslige institutioners it-systemer og data.

»Desuden har ingen af institutionerne skiftet ikke-personlige passwords årligt, og størstedelen af de pågældende passwords er op til 7 år gamle. Enkelte passwords er ikke blevet skiftet siden slutningen af 1990’erne,« står der i rapporten.

Derudover fremgår det af denne figur, at ingen af institutionerne har sørget for at ændre kodeordene til administratorrettighederne, når en it-chef fratrådte.

Det giver både interne og eksterne problemer og kan true en sikker opbevaring af fortrolige personoplysninger og øvrige fortrolige data. Både i form af en medarbejder der misbruger rettigheder, men også i form af hackerangreb udefra samt spionage.

Og ifølge Forsvarets Efterretningstjenesten er risikoen for netop at blive hacket eller opleve spionage af forskellig art større end nogensinde. Desuden fremgår det af en risikovurdering fra 2014, at truslen fra ansatte, der ubevidst eller bevidst bryder sikkerheden på deres arbejdsplads, vokser dag for dag.

I rapporten er det anført, at de vigtige, statslige institutioner har mellem 8 og 44 superbrugere med administratorrettigheder, hvorfor Rigsrevisionen finder det 'kritisabelt og foruroligende, at en række samfundsvigtige opgaver er udsat for alvorlige it-sikkerhedsmæssige risici, der kan true opgavernes løsning og kompromittere fortrolige data.'

Institutionerne har altså ikke efterlevet en række anerkendte anbefalinger om god it-sikkerhedspraksis til beskyttelse af adgangen til it-systemer og data, lyder det fra Rigsrevisionen.

Anomaliteter overvåges ikke

I rapporten står der, at 'ingen af de 6 institutioner overvåger anomalier i institutionens it-miljø.'

»Kigger man ikke efter anomalier, er man blind - og blinde it-administratorer er ikke meget værd i store netværk. Man ville aldrig se et angreb medmindre det kommer frem på pc-erne som ransomware,« siger sikkerheds- og virusanalytiker hos CSIS Peter Kruse.

Anomaliteter kan være at der logges på fra et andet land, at der ekstraheres store mængder data eller at en superbruger logger på servere, vedkommende ellers ikke har været på før - eller ikke burde tilgå i forbindelse med sit daglige arbejde.

Ubegrænset adgang til Active Directory

For en administratorbruger er der frit slag i det såkaldte AD eller Active Directory. Det giver en hacker eller en medarbejder med onde hensigter mulighed for at overtage alle de øvrige brugere i systemets brugeridentitet og dermed udgive sig for at være vedkommende.

Dette kan, i nogle af institutionernes tilfælde, give angriberen mulighed for at 'skaffe sig adgang til andre af institutionens it-systemer og data.'

Muligheden for at udnytte dette til at angribe systemet bliver ikke mindre ved, at den logning der foregår omkring brugen af administratorrettigheder og omkring, hvad administratoren foretager sig, er yderst mangelfuld. En angriber eller en intern person, der udnytter den ringe sikkerhed, kan for fire af de seks institutioner vedkommende slette alle spor efter sig i loggen. Kvit og frit.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Og alligevel kommer det ikke bag på en.

"En angriber eller en intern person, der udnytter den ringe sikkerhed, kan for fire af de seks institutioner vedkommende slette alle spor efter sig i loggen. Kvit og frit"

Så vi aner i praksis ikke, hvor mange der har været ind og snage, f.eks. i vores sundhedsdata?

Det må jo være endnu en af disse sager, der kan falde ind under "ansvaret, der forsvandt". For hvis ansvar er det egentligt på politisk niveau, at der ikke kommer styr på disse ting?

Hvorfor er det anderledes end skattesagen, hvor man da i det mindste påstår, at man forsøger at placere et ansvar (dog sikkert et forkert sted)? Er der ikke en minister, der har ansvar for, at statens IT opfører sig forsvarligt?

Eller er der simpelthen ikke nogen, der har ansvaret? Det er jo ikke fordi, man ikke er blevet advaret den ene gang efter den anden. Hvad har de ansvarlige ministre gjort for at følge op på skandalerne?

  • 16
  • 1
Jan Heisterberg

Når to deler et ansvar, så er der to procent til hver.......

Det er værre end skattesagerne som bare handler om penge.
Det her er den højt besungne beskyttelse af individet ......

OG husk lige hvad der skete med en studerende som fandt, og rapporterede en sikkerhedsdetalje ? Jo, han fik en advarsel eller værre.

Lad os endelig dræbe budbringerne, så er vi sikret med flere afsløringer.

Der må findes ansvarlige som stilles til regnskab - ellers vil ingen tage det alvorligt og virkelig rette op.

  • 13
  • 1
Anne-Marie Krogsbøll

Det ser oven i købet ud til, at de pågældende institutioner er gjort anonyme i "forseelsestabellen", så man ikke kan se, hvem der er de værste. Måske af sikkerhedshensyn, men når der kun er tale om 6 i øvrigt navngivne institutioner, hjælper mørklægning nok ikke så meget?

Jeg kan i hvert fald ikke finde angivelse af de enkelte institutioners nummer i selve rapporten: http://www.rigsrevisionen.dk/media/2064819/adgangen-til-it-systemer-der-...

  • 1
  • 0
Max Tobiasen

Så passwords skiftes ikke når en systemadministrator forlader jobbet, en systemadministrator kan ændre i logs, og der overvåges ikke for anomaliteter.

Med andre ord: en sur eks-sysadmin kan logge ind med hans gamle password, slette og ændre som han lyster, og derefter slette sine spor i loggen. Eftersom der er meget ringe overvågning vil de aldrig blive opdaget.

Det synes jeg er en lille smule bekymrende...

  • 9
  • 0
Max Tobiasen

Der er du lidt for hurtig i din konklusion, der er ikke undersøgt om brugerne ikke bliver nedlagt efter opsigelse.

Er det ikke det "institutionen har sikret at passwords til system og servicekonti altid skiftes når betroede it-medarbejdere fratræder"?

  • 2
  • 1
Nicolai Larsen

Er det ikke det "institutionen har sikret at passwords til system og servicekonti altid skiftes når betroede it-medarbejdere fratræder"?

Jeg skal, af gode grunde da mere præcise informationer mangler, ikke udtale mig omkring sikkerheden, men hvis medarbejderen har fået sin brugerkonto slettet, fra AD, access list m.v., så hjælper det ham jo ikke som du først skriver:

en sur eks-sysadmin kan logge ind med hans gamle password, slette og ændre som han lyster, og derefter slette sine spor i loggen

Så ja, jeg er enig i at din fremstilling var en overfortolkning, når informationerne ikke er mere fyldestgørende. System og servicekonti er ikke direkte tilgængelige remote, forventer jeg, og da hans bruger ikke længere eksisterer har han jo ikke adgang til systemerne med mindre han bryder ind, fysisk.

  • 0
  • 0
Nicolai Larsen

Eller er der simpelthen ikke nogen, der har ansvaret? Det er jo ikke fordi, man ikke er blevet advaret den ene gang efter den anden. Hvad har de ansvarlige ministre gjort for at følge op på skandalerne?

Hvis du læste nyhederne, ville du selv vide det. De har bebudet offentlige besparelser. Uanset hvordan man vender og drejer det, og hvilken mening man har, så handler det i sidste ende om økonomi. Det er igen en afvejning af hvor man føler man får mest for pengene ift eventuelle konsekvenser, og man kan jo ikke plante pengetræer.

Selvfølgelig er der de lavt-hængende frugter, men spørgsmålet er om vi er villige til at betale prisen for at være 70, 80, 90 eller 100% sikrede - hvad er prisen for at øge sikringen med 5%? Står det mål med de praktiske konsekvenser? Hvad er gevinsten? Ja, selv individets rettigheder har en pris, - vores liv har en pris, en max pris vel at mærke.

Selvfølgelig vil øget sikkerhed være rart (og man kan argumentere for at det er påkrævet), men man skal se tingene i en kontekst, for hvis man flytter flere penge til at øge sikkerheden, skal pengene tages fra en anden pulje - så simpelt er det.

  • 3
  • 4
Anne-Marie Krogsbøll

Nikolaj Larsen:

Dit indlæg bekræfter jo i den grad, at det nok er sådan, man fra ledende politisk hold tænker.

Men jeg vil gerne se den politiker, der tør stå åbent ved, at man simpelthen ikke ønsker at gøre mere ved disse problemer.

HVIS der var en, der åbent stod ved det, så kunne man da i det mindste måske vække befolkning og få en egentlig debat om, om befolkningen virkeligt ønsker at leve med denne udsathed - som jo ikke kun drejer sig om persondata, men også om retssikkerhed m.m.

Når vi ikke tager disse problemer alvorligt, så betyder det i praksis, at man har afskaffet retten til privatliv. Intet mindre, for mig at se.

Mon virkeligt befolkningen går ind for dette? Mon ikke de fleste TROR, at data i rimelig grad er beskyttede -lige indtil det rammer dem selv?

Og hvad kan det ikke på længere sigt komme til at koste, at man ikke sikrer disse data? Hvis man kan gå nærmest uhindret og risikofrit ind i f.eks. sundhedsdata eller politidata, så kan man jo også ændre i dem. Hvad kan det ikke komme til at koste både samfundet og private på længere sigt?

Jeg finder det dybt, dybt krænkende, at tilfældige personer, uden mit tilsagn og endda uden mit vidende, kan gå ind i mit privatliv og snage - ikke fordi det er særligt interessant eller pinligt, men fordi det MIT!!!!!!! Mit privatliv er MIN ejendom - det ikke statens eller andres ejendom, for hvis det bliver det, så er der pludseligt tale om en totalitært samfund.

Men er vi virkeligt derhenne, hvor et flertal af befolkningen er villige til at lade deres privatliv ekspropriere, både til staten og til alle andre?

Eller er vi mon ikke udsat for et omfattende magtmisbrug på dette område, hvor man fra ledende politisk side afskaffer retten til privatliv i det skjulte, ved at opprioritere udnyttelsen af data til økonomiske og befolkningskontrollerende formål (uden samtykke) og nedprioritere de beskyttende mekanismer, indtil der ingen vej er tilbage?

  • 7
  • 1
Kristian Sørensen

Jeg finder det dybt, dybt krænkende, at tilfældige personer, uden mit tilsagn og endda uden mit vidende, kan gå ind i mit privatliv og snage - ikke fordi det er særligt interessant eller pinligt, men fordi det MIT!!!!!!! Mit privatliv er MIN ejendom - det ikke statens eller andres ejendom, for hvis det bliver det, så er der pludseligt tale om en totalitært samfund.

Men er vi virkeligt derhenne, hvor et flertal af befolkningen er villige til at lade deres privatliv ekspropriere, både til staten og til alle andre?

Efter at have diskuteret dette emne med familie, venner, kolleger osv. i årevis, er det mit klare indtryk at det kun er et lille mindretal der har et problem med at "det offentlige" kan se alt om dem.

Hovedparten af dem jeg taler med griner og siger noget i retning af: "jeg er ikke så interessant. Hvis de vil spilde deres tid på at kigge på alt der ligger i systemerne om mig, så lad dem bare, hvis det kan more dem."

Det er stort set alene IT folk der selv har indsigt i hvor dybdegående data der lagres og som har fantasi til at forestille sig i hvor høj grad det kan misbruges, der har holdningen at der skal strammes op og håndhæves en langt højere grad af databeskyttelse.

De er så tilgengæld ved at gå til i raseri og afmagt.

  • 7
  • 1
Kristian Sørensen

Jeg læser dit indlæg i den retning, at du er enig i, at de fleste ikke rigtigt ved, hvad der foregår, og at det er derfor, de finder sig i det. Er det en mistolkning?

Ja det er lidt anderledes end hvad jeg forsøgte at skrive.

De her folk ved godt der er lagret en masse data om dem. De ved godt der er intime detaljer, og pinligheder imellem og de har en forestilling om at der er gemt "meget data" om dem.

Men de er helt OK med at offentligt ansatte og evt. IT kriminelle i vidt omfang har mulighed for at sidde og hygge-læse i data uden at det har relation til en legitim arbejdsopgave. De siger den der med: "lad dem bare, hvis det kan more dem".

Den der holdning "jeg har ikke noget at skjule, så lad dem bare kigge" er meget udbredt i befolkningen.

Omkring det med forståelse for hvor galt det kan misbruges, så er der mange som har tendens til at afvise det slemme som noget der ikke sker for dem. Det gælder også for IT kriminalitet.

  • 3
  • 1
Anne-Marie Krogsbøll

Kristian Sørensen:

Tak for uddybningen.

Men man må vel formode, at selv om de pågældende er klare over, at der er mulighed for at kigge i disse data, så er de ikke opmærksomme på alle de mange måder, disse data kan misbruges på?

Min egen erfaring med at nævne den slags for folk, det er, at de :

Enten tror, at vi har god sikring af persondata herhjemme. De opfatter diverse skandaler som undtagelser.

Eller at de ikke har overskuddet til at bekymre sig om det. De har det ikke godt med disse sager, men de orker ikke at sætte sig ind i det - ganske som der er mange andre problemer her i verden, og man kan ikke nå at sætte sig ind i og tage stilling til dem alle.

Eller de har aldrig tænkt igennem, hvordan disse data kan misbruges - både til kriminelle formål og diverse magtmisbrug, der kan sætte demokrati og retssikkerhed ud af funktioner.

Ofte er det nok en kombination af alle tre ting.

Jeg tror faktisk, at det er de færreste almindelige borgere, der, hvis de havde fuldt indsigt i denne misere, synes, at det er i orden.

Med mindre man altså selv har en eller anden interesse , f.eks. økonomisk, i, at tingene ikke bliver bedre på dette felt. Det er der jo nogen, der har.

  • 3
  • 1
Mads Bendixen

Betegnelsen "udvidede administrator-rettigheder" dækker i rapporten over brugere der er medlem af "Domain Admin" gruppen. Det er noget vattet synes jeg.
"Domain Admin" har f.eks. ikke adgang til en SQL-server, medmindre der explicit givet adgang og rettigheder til det. Ligeså kan en ikke-DomainAdmin sagtens have fulde sysadmin rettigheder i en SQL-server og derved have adgang til data.

  • 1
  • 0
Nicolai Larsen

Jeg finder det dybt, dybt krænkende, at tilfældige personer, uden mit tilsagn og endda uden mit vidende, kan gå ind i mit privatliv og snage - ikke fordi det er særligt interessant eller pinligt, men fordi det MIT!!!!!!! Mit privatliv er MIN ejendom

Hvis vi bare starter med et eksempel;

Hvilke krav i ovenstående retning har du stillet din bank? Ved du, hvem der i din bank har adgang til dine personlige data, og hvem som snager i dem? I hvilke midler de har til at logge dem der snager/anvender dine data?

  • 0
  • 3
Nicolai Larsen

En rigtig BOFH har flere "konti" end den personlige login. Hvis ingen checker efter "anomaliteter" så har han adgang så länge der er ström på systemet, fyret eller ej.

Ja. Hvem checker "anomalitets-overvågningen", måske den er blevet kompromitteret? Hvem checker dem der checker? Måske har BOFH admin'en kompromitteret en kollegas konto? Måske har han stjålet luser passwords? Hvem checker om der er rogue udstyr i serverrummet, under det hævede gulv? Måske BOFH har koblet en remote betjent kontaktor på hovedforsyningen til eltavle/UPS? Hvem checker om BOFH har hacket et russisk krydsermissil og indtastet serverrummets gps position?

En rigtig BOFH kan aldrig stoppes, uanset hvor gode rutiner man har. Hvis man render rundt med en tin-folie hat, kan man altid finde "brister", og eneste reelle løsning på dette er at lukke alt digitalt udstyr og gå tilbage til papirregister, selvom en "bastard archivist from hell" ville kunne sætte ild til de papirregistrerede cpr numre.

Vi lever ikke i en perfekt verden, og det vil vi aldrig komme til - uanset hvor mange gange det danske bnp vi kaster efter forsøget. Der findes ikke noget 100% sikkert.

  • 0
  • 3
Nicolai Larsen

men fordi det MIT!!!!!!! Mit privatliv er MIN ejendom

Hvordan fortolker du egentlig dette, og hvordan håndhæver du det? Hvis nu din nabo kommer til at kigge ind i din private stue, og ser noget af dit "privatliv", hvad gør du så? Eller hvad nu hvis kommunens skattemedarbejder står i samme kø i Netto som du gør, og ser hvad du køber?

Hvordan definerer du privatliv, i den tid du har til låns her på jorden?

Hvordan definerer du privatliv i et demokratisk samfund, hvor det bl.a. er et lovkrav at meddele folkeregisteret at du er flyttet til udlandet?

Eksisterer privatliv overhovedet, andet end som et modificerbart begreb?

For at være ærlig, føler jeg at din tilgang er overdrevet, livets helhed og indhold taget i betragtning, og at så længe du ikke lavet noget ulovligt, er dine private data komplet ligegyldige.

Jeg siger ikke, at der ikke skal være krav til forvaltningen af individets data, tværtimod. Men det skal være "bæredygtigt", og ikke bygget på, i mine øjne, urealistiske principielle holdning der tager afsæt i dommedags-konspirationer.

I mine øjne medfører det ikke konstruktive muligheder, når man ikke søger en balanceret løsning.

  • 1
  • 4
Anne-Marie Krogsbøll

Nicolai Larsen:

Jeg ved ikke rigtigt, hvad jeg skal svare på dit indlæg....

Det er muligt, at du mener, at mine private data, f.eks. sundhedsdata, ikke er interessante nok til at være i farezonen - men for det første er jeg ikke enig - for medicinalfirmaer er ALLE vore sundhedsdata interessante - sådan er det bare, og du benægter fakta, hvis du benægter det. Og tilfældige ansatte i medicinalfirmaer skal ikke sidde og kigge i mine private data. Punktum.

For det andet så får du jo lige så svært ved overhovedet at regne noget som helst som privatliv, som jeg får ved at definere det præcist. Din holdning medfører jo i praksis, at man som individ ikke mere overhovedet HAR et privatliv. Hvor sætter DU da grænsen? HAR vi ret til at have en grænse, og hvor går den?

Jeg, og rigtigt mange andre mennesker, har brug for at have en privat zone, hvor vi efter eget valg kan lukke de personer ind, som vi har tillid til, hvis vi altså har lyst.

Hvis vi afskaffer denne zone, så udvander vi menneskelige relationer - for hvis alle ved alt om alle, hvad adskiller så vore nærmeste fra alle andre?

Tror du virkeligt, at denne gennemsigtighed, hvor alle ved alt om alle, også gælder for de rigeste og mest magtfulde? Tror du ikke, at dem, der har magt og råd til det, vil sørge for at holde på DERES privatliv, mens vi andre reduceres til malkekvæg for de data, som enten er økonomisk eller politisk givtige for nogle grupper at samle på?

Hvis du udelukkende taler om, at retten til privatliv i særlige tilfælde, som kriminalitet, efter dommerkendelse kan ophæves - ja! Men jeg fornemmer, at det ikke er det, du mener.

Jeg opfatter ikke flyttemeddelelser som privatliv - for samfundet kan ikke fungere, hvis samfundet ikke har en anelse om, hvor borgerne befinder sig. Ligeledes indkomstforhold - samfundet er nødt til at finansiere diverse institutioner i fællesskab via skatten.

Men samfundet kan sagtens fungere uden at kende mine private sundhedsdata, venner, vaner osv. Med mindre der er helt særlige situationer, hvor den slags bliver rimeligt at kigge på - f.eks. alvorlig kriminalitet.

Vi har, både i grundloven og i FN's menneskerettigheder, ret til et privatliv - INGEN har ret til at afskaffe dette, og slet ikke ad skjulte omveje.

Jeg er afgjort venstredrejet (det forestiller jeg mig, at du ikke er), men selv hvis et mere rødt styre fandt på at afskaffe retten til privatliv, f.eks. ved at beslutte, at sundhedsdata er statens ejendom (som så kan sælges videre til højestbydende), så ville jeg kæmpe indædt mod dette - for uanset om et sådant tiltag kom fra venstre eller højre side af samfundsdebatten, så ville det være udtryk for en totalitær umenneskeliggørelse.

  • 4
  • 0
Anne-Marie Krogsbøll

Jeg faldt over denne side: http://gts-net.dk/begivenheder/datasikkerhed-telemedicin-og-sundhedsdata/

Der henvises bl.a. til IBM Watson: http://www.ibm.com/smarterplanet/us/en/ibmwatson/health/

Her kan man bl.a. læse:
"IBM Watson Health Cloud will bring together clinical, research and social data from a diverse range of health sources, creating a secure, cloud-based data sharing hub, powered by the most advanced cognitive and analytic technologies.
Explorys and Phytel will become part of the Watson Health Cloud. Explorys has compiled one of the largest healthcare databases in the world, derived from numerous and diverse financial, operational, and medical record source systems. Phytel works with healthcare providers’ current electronic medical record technologies to reduce patient hospital readmissions and to automate and improve patient outreach and engagement."

Dette er et eksempel på en total sammenblanding af offentligt og kommercielt, som gør mig meget utryg ved, hvordan vore følsomme data bruges.

Skal Danmark til at bidrage til denne kæmpe kommercielle database, siden dette projekt ser ud til at skulle promoveres ved et arrangement, der bl.a. er arrangeret af Sundhedsteknologi Vidensfestivalen i Odense, Styrelsen for Forskning og Innovation, Teknologisk Institut, DELTA, Alexandra Instituttet (og FORCE Technology).

Og kan placering af en database i Clouden forenes med god datasikkerhed? Rent intuitivt føler jeg "nej" - men indrømmet - det har jeg ikke meget forstand på.

  • 1
  • 0
Log ind eller Opret konto for at kommentere