»Udenrigsministeriet har fravalgt at efterleve de ufravigelige krav,« konstaterer Rigsrevisionen i et nyt notat.
Notatet kritiserer Udenrigsministeriet og flere andre myndigheder med kritisk infrastruktur for deres manglende beskyttelse mod ransomware.
Tre år er gået, siden Statsrevisorerne dumpede Sundhedsdatastyrelsen, Banedanmark, Udenrigsministeriet og Beredskabsstyrelsen for ikke at beskytte sig godt nok mod ransomwareangreb, der potentielt kunne lægge myndighedernes arbejde helt ned.
Alligevel halter alle fire myndigheder stadig på flere af kritikpunkterne. Det, på trods af at fire af kritikpunkterne siden da blevet til »ufravigelige krav til it-sikkerheden, som alle statslige myndigheder skal leve op til som led i den nationale cyber- og informationssikkerhedsstrategi.«
Det gælder:
* Brug af tofaktorlogin ved webmailløsninger.
* Sikring mod, at hackere kan anvende institutionernes domænenavne som afsenderdomænenavne, når de sender indgående e-mails.
* Kontrol af eventuelle indgående e-mails i forhold til afsenderidentiteten og eventuel frasortering, for eksempel ved hjælp af SPF-, DMARC- og DKIM-teknologierne.
* Sikring mod misbrug af identitet ved angreb mod andre, fx ved hjælp af SPF-, DMARC- og DKIM-teknologierne.
Rigsrevisionen advarer om risici i Udenrigsministeriet
Særligt Udenrigsministeriet får høvl i det nye notat. Ministeriet er de seneste tre år gået fra »gul« til »rød« på to af de ufravigelige krav, altså det komplet modsatte af, hvad der gerne skulle ske, når Rigsrevisionen svinger pisken.
»Rigsrevisionen konstaterer, at Udenrigsministeriet fortsat ikke lever op til alle 3 ufravigelige krav til ydre tiltag, på trods af at tiltagene skulle have været implementeret pr. 1. juli 2020,« skriver Rigsrevisionen i notatet.
Udenrigsministeriet har i stedet valgt at implementere »mitigerende foranstaltninger«, som ifølge ministeriet vil afhjælpe »en del af risikoen«. Men de foranstaltninger er stadig ikke fuldt implementerede, og det kalder Rigsrevisionen »utilfredsstillende«.
Rigsrevisionen advarer om, at ministeriets it-sikkerhed risikerer ikke at være god nok.
»Umiddelbart finder Rigsrevisionen dog – når de ufravigelige krav ikke følges – at der er en øget risiko for, at Udenrigsministeriets it-sikkerhed ikke er tilstrækkelig, herunder risiko for, at myndigheder og personer ikke i alle tilfælde kan stole på mailkommunikation via Udenrigsministeriets domæner.«
Sundhedsdatastyrelsen og Banedanmark halter også efter
Udenrigsministeriet er ikke den eneste myndighed, Rigsrevisionen fremhæver, når det handler om ufravigelige krav til it-sikkerhed.
»Sundhedsdatastyrelsen og Banedanmark har ikke sikret sig mod, at hackere kan anvende institutionernes identitet i hackerangreb mod andre, hvilket er et af de ufravigelige krav til it-sikkerheden,« lyder det i notatet.
Rigsrevisionen skriver, at det for Banedanmark kun gælder ét domæne, som Banedanmark angiveligt har tænkt sig at lukke. Sundhedsdatastyrelsen har også fortalt Rigsrevisionen, at kravet er gennemført for 90 procent af styrelsens domæner og at resten er på vej.
Til gengæld halter Sundhedsdatastyrelsen, når det kommer til tofaktorlogin.
»Rigsrevisionen finder det utilfredsstillende, at Sundhedsdatastyrelsen ikke lever op til det ufravigelige krav om at etablere 2-faktorlogin ved webmailløsninger, på trods af at dette er et ufravigeligt krav og skulle være implementeret pr. 1. januar 2020.«
»Manglende 2-faktorlogin ved webmailløsninger kan betyde, at en hacker kan få adgang til at sende inficerede e-mails, herunder ransomware, uden at disse har været igennem virksomhedens ydre sikringstiltag,« lyder det.
Styrelsen er ifølge Rigsrevisionen i gang med at indføre tofaktorlogin, men arbejdet er blevet forsinket både af overgangen til Statens It og af covid-19-pandemien.
