Skrap kritik af Udenrigsministeriet: Sylter ufravigelige krav til it-sikkerhed

Jeppe Kofoed er den øverste chef for Udenrigsministeriet, som har valgt ikke at efterleve en række ufravigelige krav om it-sikkerhed. Illustration: Claus Bech/Udenrigsministeriet
Rigsrevisionen advarer om utilstrækkelig it-sikkerhed i Udenrigsministeriet, efter ministeriet har valgt ikke at leve op til »ufravigelige krav til it-sikkerheden«.

»Udenrigsministeriet har fravalgt at efterleve de ufravigelige krav,« konstaterer Rigsrevisionen i et nyt notat.

Notatet kritiserer Udenrigsministeriet og flere andre myndigheder med kritisk infrastruktur for deres manglende beskyttelse mod ransomware.

Tre år er gået, siden Statsrevisorerne dumpede Sundhedsdatastyrelsen, Banedanmark, Udenrigsministeriet og Beredskabsstyrelsen for ikke at beskytte sig godt nok mod ransomwareangreb, der potentielt kunne lægge myndighedernes arbejde helt ned.

Læs også: Rigsrevisionen dumper fire statslige institutioners værn mod ransomware

Alligevel halter alle fire myndigheder stadig på flere af kritikpunkterne. Det, på trods af at fire af kritikpunkterne siden da blevet til »ufravigelige krav til it-sikkerheden, som alle statslige myndigheder skal leve op til som led i den nationale cyber- og informationssikkerhedsstrategi.«

Det gælder:
* Brug af tofaktorlogin ved webmailløsninger.
* Sikring mod, at hackere kan anvende institutionernes domænenavne som afsenderdomænenavne, når de sender indgående e-mails.
* Kontrol af eventuelle indgående e-mails i forhold til afsenderidentiteten og eventuel frasortering, for eksempel ved hjælp af SPF-, DMARC- og DKIM-teknologierne.
* Sikring mod misbrug af identitet ved angreb mod andre, fx ved hjælp af SPF-, DMARC- og DKIM-teknologierne.

Rigsrevisionen advarer om risici i Udenrigsministeriet

Særligt Udenrigsministeriet får høvl i det nye notat. Ministeriet er de seneste tre år gået fra »gul« til »rød« på to af de ufravigelige krav, altså det komplet modsatte af, hvad der gerne skulle ske, når Rigsrevisionen svinger pisken.

»Rigsrevisionen konstaterer, at Udenrigsministeriet fortsat ikke lever op til alle 3 ufravigelige krav til ydre tiltag, på trods af at tiltagene skulle have været implementeret pr. 1. juli 2020,« skriver Rigsrevisionen i notatet.

Illustration: Rigsrevisionen

Udenrigsministeriet har i stedet valgt at implementere »mitigerende foranstaltninger«, som ifølge ministeriet vil afhjælpe »en del af risikoen«. Men de foranstaltninger er stadig ikke fuldt implementerede, og det kalder Rigsrevisionen »utilfredsstillende«.

Rigsrevisionen advarer om, at ministeriets it-sikkerhed risikerer ikke at være god nok.

»Umiddelbart finder Rigsrevisionen dog – når de ufravigelige krav ikke følges – at der er en øget risiko for, at Udenrigsministeriets it-sikkerhed ikke er tilstrækkelig, herunder risiko for, at myndigheder og personer ikke i alle tilfælde kan stole på mailkommunikation via Udenrigsministeriets domæner.«

Læs også: To ministerier blæser på Rigsrevisionens it-anbefalinger mod ransomware

Sundhedsdatastyrelsen og Banedanmark halter også efter

Udenrigsministeriet er ikke den eneste myndighed, Rigsrevisionen fremhæver, når det handler om ufravigelige krav til it-sikkerhed.

»Sundhedsdatastyrelsen og Banedanmark har ikke sikret sig mod, at hackere kan anvende institutionernes identitet i hackerangreb mod andre, hvilket er et af de ufravigelige krav til it-sikkerheden,« lyder det i notatet.

Rigsrevisionen skriver, at det for Banedanmark kun gælder ét domæne, som Banedanmark angiveligt har tænkt sig at lukke. Sundhedsdatastyrelsen har også fortalt Rigsrevisionen, at kravet er gennemført for 90 procent af styrelsens domæner og at resten er på vej.

Til gengæld halter Sundhedsdatastyrelsen, når det kommer til tofaktorlogin.

»Rigsrevisionen finder det utilfredsstillende, at Sundhedsdatastyrelsen ikke lever op til det ufravigelige krav om at etablere 2-faktorlogin ved webmailløsninger, på trods af at dette er et ufravigeligt krav og skulle være implementeret pr. 1. januar 2020.«

Læs også: Sundhedsdatastyrelsen opruster sikkerheden i hele sundhedsvæsnet

»Manglende 2-faktorlogin ved webmailløsninger kan betyde, at en hacker kan få adgang til at sende inficerede e-mails, herunder ransomware, uden at disse har været igennem virksomhedens ydre sikringstiltag,« lyder det.

Styrelsen er ifølge Rigsrevisionen i gang med at indføre tofaktorlogin, men arbejdet er blevet forsinket både af overgangen til Statens It og af covid-19-pandemien.

Illustration: Rigsrevisionen
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Emil Bock Nielsen

og fokuserede udelukkende på Danmark, så kunne de nok lukke landet.

Dårlig spøg til side. Hvad er det lige for nogle årsager der gør, at det ikke bliver taget seriøst? Er det fordi, der ikke altid er en direkte 1-til-1 konsekvens som vil foregå i nuet og er direkte synlig? At konsekvenserne af dårlig it-sikkerhed er for abstrakte til, at konsekvent nødvendig handling virker lidt ligegyldig nuet?

  • 3
  • 0
#4 Anne-Marie Krogsbøll

...snart være gået op for os, at ingen magthavende politikere og ingen myndigheder og magthavende embedsmænd faktisk mener det, når de står i mediernes søgelys og messer om, hvor utroligt alvorligt de tager it-sikkerhed, og at Danmark skal være verdens bedste på det punkt. Det er noget, de siger for at tækkes højtråbende borgere og aktivister, når disse bliver for påtrængende, og man ikke kan slippe uden om at sige et eller andet. Men de holder fingrene krydsede på ryggen i mens de messer, mens de i tankerne glæder sig til det næste hemmelige partistøttebidrag, eller den næste hyggelige middag med en gavmild lobbyist, som gerne vil sælge spændende "løsninger" - men uden garanti for sikkerhed (den fixer vi lige bagefter, ikke?).

For hvis man også skal bekymre sig om sikkerheden, så får man jo aldrig lavet noget, vel? Vi kommer vel aldrig til Mars eller får evigt liv, hvis vi skal bekymre os om alt det, der kan gå galt, vel?

  • 6
  • 0
#5 Nis Schmidt

For hvis man også skal bekymre sig om sikkerheden, så får man jo aldrig lavet noget, vel? Vi kommer vel aldrig til Mars eller får evigt liv, hvis vi skal bekymre os om alt det, der kan gå galt, vel?

Jeg ved ikke med Mars, men "evigt liv" er vist en myte.

Skulle jeg tage fejl, håber jeg rigtig mange vil tage til "Mars", for ellers er der slet ikke plads her på kloden. Humor er dog altid godt og sundt.

  • 2
  • 0
Log ind eller Opret konto for at kommentere