Skrap kritik af Udenrigsministeriet: Sylter ufravigelige krav til it-sikkerhed

5 kommentarer.  Hop til debatten
Skrap kritik af Udenrigsministeriet: Sylter ufravigelige krav til it-sikkerhed
Illustration: Claus Bech/Udenrigsministeriet.
Rigsrevisionen advarer om utilstrækkelig it-sikkerhed i Udenrigsministeriet, efter ministeriet har valgt ikke at leve op til »ufravigelige krav til it-sikkerheden«.
3. februar 2021 kl. 14:15
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Udenrigsministeriet har fravalgt at efterleve de ufravigelige krav,« konstaterer Rigsrevisionen i et nyt notat.

Notatet kritiserer Udenrigsministeriet og flere andre myndigheder med kritisk infrastruktur for deres manglende beskyttelse mod ransomware.

Tre år er gået, siden Statsrevisorerne dumpede Sundhedsdatastyrelsen, Banedanmark, Udenrigsministeriet og Beredskabsstyrelsen for ikke at beskytte sig godt nok mod ransomwareangreb, der potentielt kunne lægge myndighedernes arbejde helt ned.

Alligevel halter alle fire myndigheder stadig på flere af kritikpunkterne. Det, på trods af at fire af kritikpunkterne siden da blevet til »ufravigelige krav til it-sikkerheden, som alle statslige myndigheder skal leve op til som led i den nationale cyber- og informationssikkerhedsstrategi.«

Artiklen fortsætter efter annoncen

Det gælder:
* Brug af tofaktorlogin ved webmailløsninger.
* Sikring mod, at hackere kan anvende institutionernes domænenavne som afsenderdomænenavne, når de sender indgående e-mails.
* Kontrol af eventuelle indgående e-mails i forhold til afsenderidentiteten og eventuel frasortering, for eksempel ved hjælp af SPF-, DMARC- og DKIM-teknologierne.
* Sikring mod misbrug af identitet ved angreb mod andre, fx ved hjælp af SPF-, DMARC- og DKIM-teknologierne.

Rigsrevisionen advarer om risici i Udenrigsministeriet

Særligt Udenrigsministeriet får høvl i det nye notat. Ministeriet er de seneste tre år gået fra »gul« til »rød« på to af de ufravigelige krav, altså det komplet modsatte af, hvad der gerne skulle ske, når Rigsrevisionen svinger pisken.

»Rigsrevisionen konstaterer, at Udenrigsministeriet fortsat ikke lever op til alle 3 ufravigelige krav til ydre tiltag, på trods af at tiltagene skulle have været implementeret pr. 1. juli 2020,« skriver Rigsrevisionen i notatet.

Artiklen fortsætter efter annoncen

Udenrigsministeriet har i stedet valgt at implementere »mitigerende foranstaltninger«, som ifølge ministeriet vil afhjælpe »en del af risikoen«. Men de foranstaltninger er stadig ikke fuldt implementerede, og det kalder Rigsrevisionen »utilfredsstillende«.

Eksempler på ransomwareangreb

Globale ransomwareangreb ramte i maj 2017 (WannaCry) og juni 2017 (NotPetya/Petya) både offentlige institutioner og private virksomheder. WannaCry ramte over 200.000 computere i flere end 150 lande, herunder Danmark og Storbritannien, og var ifølge EU’s politienhed, Europol, uden fortilfælde.

Locky

Region Syddanmark har i to tilfælde i foråret 2017 været ramt af ransomware-varianten Locky, der har låst for enkelte brugeres adgang til systemet/afdelingsdrev. I disse tilfælde er der sket en lukning af brugerkonti/berørte drev og dernæst geninstallation fra backup, oplyser Region Syd.

WannaCry

Det britiske sundhedsvæsen blev hårdt ramt af WannaCry, og ifølge den britiske rigsrevision måtte sundhedsvæsenet aflyse operationer af eller konsultationer med ca. 19.000 patienter. Den britiske rigsrevision pointerede, at angrebet ikke var avanceret, og at det kunne have været undgået ved hjælp af almindelige tiltag, der beskytter mod ransomware. Også i USA har flere angreb haft direkte konsekvenser for patientbehandlingen på hospitaler.

NotPetya/Petya

NotPetya/Petya ramte bl.a. den danske virksomhed A.P. Møller – Mærsk. Dele af virksomheden var uden adgang til sit it-netværk i flere døgn, hvilket betød, at virksomheden var nødt til at stoppe driften i flere havneterminaler. Angrebet viste, hvordan ransomware kan sprede sig som en orm i dele af eller i hele it-netværket og dermed forårsage store skader. Derudover viste det, at ransomwareangreb, som spreder sig, i nogle tilfælde også rammer systemer, der sandsynligvis ikke var hackerens tiltænkte mål.

Kilde: Rigsrevisionen og Region Syddanmark


Rigsrevisionen advarer om, at ministeriets it-sikkerhed risikerer ikke at være god nok.

»Umiddelbart finder Rigsrevisionen dog – når de ufravigelige krav ikke følges – at der er en øget risiko for, at Udenrigsministeriets it-sikkerhed ikke er tilstrækkelig, herunder risiko for, at myndigheder og personer ikke i alle tilfælde kan stole på mailkommunikation via Udenrigsministeriets domæner.«

Sundhedsdatastyrelsen og Banedanmark halter også efter

Udenrigsministeriet er ikke den eneste myndighed, Rigsrevisionen fremhæver, når det handler om ufravigelige krav til it-sikkerhed.

»Sundhedsdatastyrelsen og Banedanmark har ikke sikret sig mod, at hackere kan anvende institutionernes identitet i hackerangreb mod andre, hvilket er et af de ufravigelige krav til it-sikkerheden,« lyder det i notatet.

Rigsrevisionen skriver, at det for Banedanmark kun gælder ét domæne, som Banedanmark angiveligt har tænkt sig at lukke. Sundhedsdatastyrelsen har også fortalt Rigsrevisionen, at kravet er gennemført for 90 procent af styrelsens domæner og at resten er på vej.

Til gengæld halter Sundhedsdatastyrelsen, når det kommer til tofaktorlogin.

»Rigsrevisionen finder det utilfredsstillende, at Sundhedsdatastyrelsen ikke lever op til det ufravigelige krav om at etablere 2-faktorlogin ved webmailløsninger, på trods af at dette er et ufravigeligt krav og skulle være implementeret pr. 1. januar 2020.«

»Manglende 2-faktorlogin ved webmailløsninger kan betyde, at en hacker kan få adgang til at sende inficerede e-mails, herunder ransomware, uden at disse har været igennem virksomhedens ydre sikringstiltag,« lyder det.

Styrelsen er ifølge Rigsrevisionen i gang med at indføre tofaktorlogin, men arbejdet er blevet forsinket både af overgangen til Statens It og af covid-19-pandemien.

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
3. februar 2021 kl. 22:36

For hvis man også skal bekymre sig om sikkerheden, så får man jo aldrig lavet noget, vel? Vi kommer vel aldrig til Mars eller får evigt liv, hvis vi skal bekymre os om alt det, der kan gå galt, vel?

Jeg ved ikke med Mars, men "evigt liv" er vist en myte.

Skulle jeg tage fejl, håber jeg rigtig mange vil tage til "Mars", for ellers er der slet ikke plads her på kloden. Humor er dog altid godt og sundt.

4
3. februar 2021 kl. 18:19

...snart være gået op for os, at ingen magthavende politikere og ingen myndigheder og magthavende embedsmænd faktisk mener det, når de står i mediernes søgelys og messer om, hvor utroligt alvorligt de tager it-sikkerhed, og at Danmark skal være verdens bedste på det punkt. Det er noget, de siger for at tækkes højtråbende borgere og aktivister, når disse bliver for påtrængende, og man ikke kan slippe uden om at sige et eller andet. Men de holder fingrene krydsede på ryggen i mens de messer, mens de i tankerne glæder sig til det næste hemmelige partistøttebidrag, eller den næste hyggelige middag med en gavmild lobbyist, som gerne vil sælge spændende "løsninger" - men uden garanti for sikkerhed (den fixer vi lige bagefter, ikke?).

For hvis man også skal bekymre sig om sikkerheden, så får man jo aldrig lavet noget, vel? Vi kommer vel aldrig til Mars eller får evigt liv, hvis vi skal bekymre os om alt det, der kan gå galt, vel?

3
3. februar 2021 kl. 18:07

Lad politikerne opleve hvad identitetstyveri og misbrug af personfølsomme oplysninger er for en størrelse, og mon ikke de så vil tage sikkerheden alvorligt...

2
3. februar 2021 kl. 17:32

og fokuserede udelukkende på Danmark, så kunne de nok lukke landet.

Dårlig spøg til side. Hvad er det lige for nogle årsager der gør, at det ikke bliver taget seriøst? Er det fordi, der ikke altid er en direkte 1-til-1 konsekvens som vil foregå i nuet og er direkte synlig? At konsekvenserne af dårlig it-sikkerhed er for abstrakte til, at konsekvent nødvendig handling virker lidt ligegyldig nuet?

1
3. februar 2021 kl. 17:21

Selv efter 4 år har de nævnte myndigheder ikke fundet det betimeligt at rette sig efter kravene til It-sikkerheden. Det er både pinligt og ufatteligt. Tak til Rigsrevisonen for at bringe disse oplysninger frem i lyset.