Styrelse: Masse-nulstilling af passwords i statslige systemer var planlagt

28. december 2017 kl. 16:3332
Styrelse: Masse-nulstilling af passwords i statslige systemer var planlagt
Illustration: Moderniseringsstyrelsen.
Samtlige systemer var torsdag eftermiddag alle op og køre igen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Moderniseringsstyrelsen valgte onsdag at nulstille samtlige passwords til brugere og systembrugere til en række statslige it-systemer.

Indtil videre har styrelsen udelukkende forklaret, at manøvren skete af sikkerhedshensyn. Nu fortæller styrelsens vicedirektør Maria Damborg Hald til Version2, at øvelsen var planlagt.

Version2 har bedt om et interview med Moderniseringsstyrelsen. Den forespørgsel har indtil videre udløst følgende mail-svar fra vicedirektøren.

»Moderniseringsstyrelsen har mellem jul og nytår gennemført en planlagt nulstilling af passwords på en række fællesstatslige administrative systemer – herunder blandt andet i lønsystemet, økonomisystemet og i rejseafregningssystemet.«

Gik helt som planlagt

I alt har 10 systemer fået nulstillet kodeord, og flere af dem var i samme ombæring nede. Torsdag eftermiddag kom HR-Løn som det sidste system igen op og køre.

Artiklen fortsætter efter annoncen

Maria Damborg Hald fortsætter:

»Vi beder løbende brugerne opdatere deres passwords af sikkerhedshensyn. Denne nulstilling er ligeledes gennemført af sikkerhedshensyn og er gået helt som planlagt, takket være en professionel indsats både fra vores interne ressourcer og vores eksterne leverandører.«

»Vi beklager de gener, som brugerne af systemerne har haft i forbindelse med opdateringen, men glæder os samtidig over, at alle systemer igen er i normal drift,« slutter Vicedirektøren sin kommentar.

Nye kodeord til alle

Artiklen fortsætter efter annoncen

Manøvren betyder generelt, at systemernes brugere skal oprette nye kodeord, når de næste gang logger på deres PC.

At hele øvelsen var planlagt på forhånd fremgår ikke af den kortfattede besked, som styrelsen udsendte onsdag:

»Moderniseringsstyrelsen har af sikkerhedshensyn nulstillet alle passwords i en række af de fællesstatslige administrative systemer,« lød beskeden på det tidspunkt.

Version2 har blandt andet spurgt styrelsen, hvorfor nulstillings-processen tilsyneladende ikke var kommunikeret ud på forhånd. Vi følger op, når vi får flere svar.

32 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
32
3. januar 2018 kl. 12:21

</p>
<ol><li>
<p>Bruger man 3 faktor login?</p>
</li>
<li>
<p>Og hvis man ikke bruger 3-faktor login, skal brugeren så benytte sit gamle password, for at skifte til det nye? (og har man så opnået noget som helst ved at nulstille?)</p>
</li>
<li>
<p>Og har de brugere som benytter mere end 1 af de 10 systemer behov for at skifte passwords i alle systemerne?

  • 2-faktor? Nej.

  • Man skal bruge "glemt password"-funktionen og vil så få en ny adgangskode via mail.

  • Jeg har skullet ændre fire passwords: Til SLS, HR-Løn, ØDUP og LDV/Navision Stat. Og så har jeg — via mail (som anvist) — bedt om at få en ny adgangskode til den systembruger, som vores tids- og fraværsregistreringssystem bruger til integration med SLS via SLS Webservice.

  • 31
    1. januar 2018 kl. 23:11

    Dette er ikke andet end løgn til galleriet indtil andet er bevist, og Maria Damborg Hald burde straks fremlægge beviser for hendes udtalelse eller blive fjernet fra sin stilling, permanent.

    Der vil eksistere notater, referater og emails til interne såvel som eksterne resourcer HVIS dette var planlagt, samt en plan for eksekvering, forventninger og tidshorisont.

    Ingen virksomhed, organisation eller myndighed tager så ekstreme tiltag uden ENORM omtanke og slet ikke så hurtigt da det oftest er ekstremt svært at planlægge og har efterfølgende komplikationer af større eller mindre grad afhængig af systemerne. Og her var det alle kontier, også administratorer så vidt jeg husker.

    30
    1. januar 2018 kl. 13:28

    Ikke "bare" den 24/12 konen fik at vide at hendes password var ændret den 21/12 så lyder som om nogen har lavet/fundet noget og ingen ved hvad der sker kombineret med embedsmen og minister der pr. rygmarvsreaktion nægter at fortælle sandheden og derfor snakke uden om ganske som de plejer. ( gad vide om de ved hvordan man siger sandheden og fortæller det hele.. dvs. uden at skjule noget og give andre skylden for noget der i virkeligheden ikke er sket.)

    28
    31. december 2017 kl. 07:23

    24/12? Suspekt dato. Har nogen sendt de statslige systemer en lille julegave? En lille julevirus, måske?

    27
    31. december 2017 kl. 07:20

    Tak for uddybning, Henning Lysemose. Som sædvanligt er svaret åbenbart ikke så indlysende, som jeg naivt forestillede mig i første omgang.

    26
    30. december 2017 kl. 20:31

    Et par gæt på årsager der kan have udløst "planlagt" nulstilling af passwords:

    1. kompromiteret admin/root adgang. Ordet planlagt virker dog søgt her.
    1. Skift (forbedring) af password hashing algoritme. Kan være man ikke har indset det invaliderer gamle password hashes. Så det hele kan være planlagt - eller planlagte ændringer med uforudsete konsekvenser.
    25
    30. december 2017 kl. 20:24
    1. Hvis Interface-brugerkonti får password nulstillet så kan diverse systemer ikke connecte til andre systemer (databaser, SOAP osv.) Før det perifere system også får rettet passwordet det bruger til at forbinde med.
    24
    30. december 2017 kl. 16:12

    Det statslige læringsløsning Campus bruges af folkeskolerne og her i huset fik konen en mail den 24 dec om at hun havde ændret password den 21 dec , hvilket hun ikke havde. Så blev der nulstillet password før onsdag den 27 dec som der siges? Således udelukket fra at kunne logge ind på alle systemer og på Chromebooken. Jeg ser en meget panisk og trav tid efter nytår hvis alle landets folkeskolelærere ikke kan logge ind i nogle af systemerne og spændt på om eleverne også er ramt. Så igen ser vi et ministerium der er totalt ligeglad med brugerne/kunderne med mindre det koster chefferne i ministeriet penge og noget tyder på at der er en hel del som er mørkelagt og/eller ingen ved hvad der foregår( ikke utænkeligt) .

    23
    30. december 2017 kl. 09:31

    Tak for forklaring, Bjarne Nielsen.

    22
    30. december 2017 kl. 09:09

    Indebærer planlagt nulstilling af passwords, at systemer går ned?

    Måske.

    Som udgangspunkt, så må man forvente at kodeord kan skiftes uden nedetid.

    Nedetid kan give mening, f.eks.:

    1. Systemet er konstrueret, så visse kodeord kun kan sætte ifm. opstart eller under specielle systemtilstande. Udvider vi kodeord til at betyde nøgler, så kan det give god mening.
    2. Det kan vel være, at der ikke er en effektiv metode, til at nulstille alle kodeord på en gang, og som ikke involverer at f.eks. man manipulerer med systemtabeller.
    3. Hvis man skifter system eller metode til autentifikation, så er det langt fra sikkert at kodeord kan migreres - og kan man meget vel betragte som en feature.
    4. Der kan være i øvrigt uafhængige systemer, hvor ændringen bør ske synkront.

    Men jeg synes også at udmeldingerne fra centralt hold rejser flere spørgsmål end de besvarer - hvis målet var at rette op på det, som selv ministeren efter sigende erkender er et flosset image, så må man sige, at man har fejlet ... i hvert fald i første omgang.

    21
    30. december 2017 kl. 07:14

    Det beskrives, at flere systemer har været ned. Indebærer planlagt nulstilling af passwords, at systemer går ned?

    20
    30. december 2017 kl. 03:26

    I 2017 kom NIST med nye retningslinjer, der bl.a. gjorde op med den hidtidige "best practise" for passwords. Kort fortalt - slut med krav om høj kompleksitet og tvungne hyppige skift.

    I stedet skal passwords nu blot være lange (mindst 8 og op til mindst 64 tegn), og de bør ikke stå i ordbøger eller blacklists. Hvis der er begrundet mistanke om, at password(s) kan være kompromitteret, skal der gennemtvinges en udskiftning.

    Der er angiveligt et tvungent passwordskift i gang for alle Moderniseringsstyrelsens brugere. Hvis der er tale om et planlagt skift af passwordpolitik op til 2018, burde brugerne være blevet informeret herom på forhånd. Hvis ikke, så kommer der nok mere frem efter nytår, når alle igen er på arbejde, og 'de har det fulde overblik'.

    Hvis der i styrelsen er mistanke om kompromittering/misbrug af passwords, så har de vel allerede informeret Datatilsynet, hvis deres beredskabsplan er opdateret og klar til Databeskyttelsesforordningen.

    19
    29. december 2017 kl. 22:33

    »Vi beklager de gener, som brugerne af systemerne har haft i forbindelse med opdateringen, men glæder os samtidig over, at alle systemer igen er i normal drift,« slutter Vicedirektøren sin kommentar.

    Hvis der er tale om en planlagt øvelse, er det svært at forstå hvorfor man nu glæder sig over at systemerne igen er i "normal drift". Hvis man planlægger noget, må man vel betegne driften før, under og efter gennemførelsen af planen som normal - og så kan man glæde sig over at systemerne fortsat fungerer normalt. Hvis man glæder sig over at noget IGEN er normalt, må der have væren en unormal tilstand så hvad der det egentlig Vicedirektøren siger?

    En anden ting: Hvis man nulstiller passwords, og tvinger brugerne til at oprette nye passwords, hvad er det så mere præcist der er tale om? Hvad vil det i det hele taget sige at nulstille? Bruger man 3 faktor login? Og hvis man allerede har en 3-faktor login, hvorfor er det så pludselig blevet nødvendigt at "nulstille"? Og hvis man ikke bruger 3-faktor login, skal brugeren så benytte sit gamle password, for at skifte til det nye? (og har man så opnået noget som helst ved at nulstille?) Og har de brugere som benytter mere end 1 af de 10 systemer behov for at skifte passwords i alle systemerne? Og giver en nulstilling højere eller lavere sikkerhed end man havde før? Hvordan sikrer man sig, at uvedkommende ikke udnytter situationen, og ringer til sagesløse ansatte, under påskud af at hjælpe med nulstillingen?

    Det må da løbe koldt ned ad rygge, på enhver sikkerhedsansvarlig.

    Den sidste artikel i den gyser er bestemt ikke skrevet endnu. På med vanten: Aktindsigt - og det kan kun gå for langsomt.

    18
    29. december 2017 kl. 18:49

    Men som almindelige drift situation er det helt sort. Tænk bare på alle de stressede medarbejdere der kommer tilbage fra juleferie og nu skal skifte adgangskoder midt i årsafslutningen med ferieregnskaber o.s.v. Hvor gode adgangskoder laver de lige i det øjeblik?

    De få der evt. bliver stresset, blive det af helt andre årsager end passw. Du aner ikke hvad der foregår derinde.. ikke det fjerneste.

    "Årsafslutningen for 2017 vil blive gennemført efter de samme overordnede retningslinjer som årsafslutningen for 2016. Det betyder, at første halvdel af januar måned 2018 kan anvendes til afslutning af periode 12, mens anden halvdel af januar måned vil blive reserveret til færdiggørelsen af periode 13."

    17
    29. december 2017 kl. 18:39

    Nytår er derfor lig med årsafslutning i alle Statens systemer og dermed travlhed med at få de sidste indrapporteringer for 2017 på plads ... det er altså ikke lavsæson.

    Pludder, du overfører tro og mene fra den private sektor til staten (det offentlige), men de er på nogle områder vidt forskellige.

    I staten kan der i dele af deres systemer fortsat indrapporteres i en periode til det gamle finansår (efterposteringer) i det nye år, og selvfølgeligt samtidigt med registrering til det nye finansår.

    Levering af en vare eller udbetalt en løn vedrørende gammelt finansår indgår og registreres under gammelt finansår, selv om du faktisk er i Jan 2018.

    Staten øger blot antallet af måneder i året, såleder der udover de kendte 12 måneder (perioder) også er Januar for periode 13 og Februar periode 14 etc. i året 2017 - et ægte KISS system.

    http://www.admsys.stil.dk/-/media/ADMSYS/Navision-Stat/Dokumenter/Aarsregnskab/Aarsafsl2017SelvejereNS-71.ashx

    16
    29. december 2017 kl. 16:07

    Ja, det er meget urealistisk. Prøv lige at se hvilke systemer det drejer sig om: "herunder blandt andet i lønsystemet, økonomisystemet og i rejseafregningssystemet."

    Jeg vil godt se den IT revisor der uden bemærkning godtager en sådan procedure lige midt i årsafslutningen. Der skal da være særdeles specielle tilstande til før det er en god ide. Det kunne f.eks. være lækkede kodeord e.l.

    Men som almindelige drift situation er det helt sort. Tænk bare på alle de stressede medarbejdere der kommer tilbage fra juleferie og nu skal skifte adgangskoder midt i årsafslutningen med ferieregnskaber o.s.v. Hvor gode adgangskoder laver de lige i det øjeblik?

    Normalt får IT folk revet hoved af hvis de bare tænker på at ændre noget omkring økonomisystemerne i månederne op til og efter årsskiftet om så det "bare" er at skifte en printer, en skærm, tastatur eller mus.

    Det eneste der kan få det til at se realistisk ud for mig er tanken om de mange fejlslagne offentlige IT-systemer gennem tiden. Men selv det mer jeg er langt ude.

    13
    29. december 2017 kl. 14:21

    @Michael

    Finansåret følger kalenderåret.

    Nytår er derfor lig med årsafslutning i alle Statens systemer og dermed travlhed med at få de sidste indrapporteringer for 2017 på plads ... det er altså ikke lavsæson.

    Som kontorchef godkender man i den periode ikke noget, der kan bringe styrelsens eller ministeriets evne til at rapportere rettidigt til Finansministeriet i fare.

    12
    29. december 2017 kl. 14:02

    Når de skriver "af sikkerhedshensyn", så kan det da godt være, lige før nytår er der sikkert også lav aktivitet, men et varsel havde nok være OK, og jeg har ikke hørt nogle fortælle mig, at et sådant er udsendt. Og sætningen: "De har det fulde overblik" gør også, at jeg har mine tvivl om, hvad status er. Selv om alt er OK, så ville større åbenhed være at foretrække. Man kan også tale en krise, som ikke er der, op.

    11
    29. december 2017 kl. 12:12

    som har kompromitteret sikkerhedssystemet, så er nulstilling eneste vej frem - efter patchning. .....det burde alle minimalt IT kyndige kunne gennemskue

    10
    29. december 2017 kl. 10:12

    Helt enig.

    Der stod desuden også følgende i forrige artikel...

    Ifølge kilder, som Version2 har kontakt til, vil Moderniseringsstyrelsen ikke oplyse om årsagen til det store indgreb, før 'de har det fulde overblik'.

    Hvis de selv har trykket på knappen, har de vel allerede det fulde overblik

    9
    29. december 2017 kl. 09:40

    En sikkerhedstest af løn-, HR og økonomisystemer på det absolut travleste tidspunkt af året for den slags systemer lyder fuldstændig usandsynligt.

    Jeg har til gode at møde en driftschef, der vil godkende den slags forsøg, mens hele forretningen laver årsafslutninger.

    Der vil nok nærmere være frozen zone i denne periode, så der ikke foretages ændringer eller andet, der kan true daglig drift.

    Er der tale om en sikkerhedshændelse, er det naturligvis i orden initialt ikke at fortælle mere end netop det, mens der udføres damage control og efterforskning igangsættes.

    Men forsøger man at dække over det, ved at kalde det en planlagt øvelse, så underminerer det enhver form for tillid til den offentlige forvaltning af vores fælles data.

    8
    29. december 2017 kl. 09:08

    Jeg synes generelt det er beskæmmende, så svært det åbenbart er at få kommentarer og information ud af staten.

    Version2 har tilsyneladende henvendt sig til styrelsen med en ganske normal, forståelig og nødvendig forespørgsel om oplysninger, og så tillader man sig fra styrelsens side at komme med sådan et intetsigende ikke-svar! Det er for ring e! Det vidner igen-igen om en stat, der lever for og af sig selv og blot med borgerne som villige skaffedyr.

    7
    29. december 2017 kl. 08:05

    Jeg kan godt se et scenarie hvor jeg ville anbefale den stategi.

    Eks hvis man skulle skifte directory service - og i samme forbindelse lave om i password politik. Udfør skiftet på en dag hvor så få mennesker bliver berørt som muligt - få ikke at dræbe servicedesk.

    Har ingen ide om rigtige årsag - Men kan godt se nogle realistiske scenarier der ikke omfatter russisk efterretning eller inkompetente teknikere.

    6
    28. december 2017 kl. 23:57

    Er jeg den eneste der tænker... aktindsigt?

    5
    28. december 2017 kl. 22:11

    I må forstå at det er moderniseringsstyrelsen. Og cheferne styrer efter moderne principper.

    Principper, der tydeligvis fører til bortforklaringer der kun kan virke rimelige i et alternativt univers.

    4
    28. december 2017 kl. 21:50

    Jeg tænker nu mere på begrebet "elastisk krigsførelse".

    3
    28. december 2017 kl. 21:10

    ...

    2
    28. december 2017 kl. 19:40

    .... er der lidt komiske Ali over den forklaring....

    1
    28. december 2017 kl. 17:44

    Hvis denne øvelse var planlagt, så må der også foreligge dokumentation (fx mails), til andre offentlige virksomheder, hvor de informeres om hvad der er planlagt.