Styrelse: Masse-nulstilling af passwords i statslige systemer var planlagt

Illustration: Moderniseringsstyrelsen
Samtlige systemer var torsdag eftermiddag alle op og køre igen.

Moderniseringsstyrelsen valgte onsdag at nulstille samtlige passwords til brugere og systembrugere til en række statslige it-systemer.

Indtil videre har styrelsen udelukkende forklaret, at manøvren skete af sikkerhedshensyn. Nu fortæller styrelsens vicedirektør Maria Damborg Hald til Version2, at øvelsen var planlagt.

Læs også: Kæmpe sikkerhedshændelse i staten: Passwords nulstillet på 10 systemer

Version2 har bedt om et interview med Moderniseringsstyrelsen. Den forespørgsel har indtil videre udløst følgende mail-svar fra vicedirektøren.

»Moderniseringsstyrelsen har mellem jul og nytår gennemført en planlagt nulstilling af passwords på en række fællesstatslige administrative systemer – herunder blandt andet i lønsystemet, økonomisystemet og i rejseafregningssystemet.«

Gik helt som planlagt

I alt har 10 systemer fået nulstillet kodeord, og flere af dem var i samme ombæring nede. Torsdag eftermiddag kom HR-Løn som det sidste system igen op og køre.

Maria Damborg Hald fortsætter:

»Vi beder løbende brugerne opdatere deres passwords af sikkerhedshensyn. Denne nulstilling er ligeledes gennemført af sikkerhedshensyn og er gået helt som planlagt, takket være en professionel indsats både fra vores interne ressourcer og vores eksterne leverandører.«

Læs også: IDA til det offentlige: Drop it-konsulenterne og tag ejerskab over it-projekterne selv

»Vi beklager de gener, som brugerne af systemerne har haft i forbindelse med opdateringen, men glæder os samtidig over, at alle systemer igen er i normal drift,« slutter Vicedirektøren sin kommentar.

Nye kodeord til alle

Illustration: Screendump
Illustration: Screenshot/Moderniseringsstyrelsen

Manøvren betyder generelt, at systemernes brugere skal oprette nye kodeord, når de næste gang logger på deres PC.

Læs også: '123456' er stadig det mest brugte kodeord: Se top 25 for 2017

At hele øvelsen var planlagt på forhånd fremgår ikke af den kortfattede besked, som styrelsen udsendte onsdag:

»Moderniseringsstyrelsen har af sikkerhedshensyn nulstillet alle passwords i en række af de fællesstatslige administrative systemer,« lød beskeden på det tidspunkt.

Version2 har blandt andet spurgt styrelsen, hvorfor nulstillings-processen tilsyneladende ikke var kommunikeret ud på forhånd. Vi følger op, når vi får flere svar.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (32)
Morten Nissen

Jeg kan godt se et scenarie hvor jeg ville anbefale den stategi.

Eks hvis man skulle skifte directory service - og i samme forbindelse lave om i password politik.
Udfør skiftet på en dag hvor så få mennesker bliver berørt som muligt - få ikke at dræbe servicedesk.

Har ingen ide om rigtige årsag - Men kan godt se nogle realistiske scenarier der ikke omfatter russisk efterretning eller inkompetente teknikere.

Claus Wøbbe

Jeg synes generelt det er beskæmmende, så svært det åbenbart er at få kommentarer og information ud af staten.

Version2 har tilsyneladende henvendt sig til styrelsen med en ganske normal, forståelig og nødvendig forespørgsel om oplysninger, og så tillader man sig fra styrelsens side at komme med sådan et intetsigende ikke-svar! Det er for ring e! Det vidner igen-igen om en stat, der lever for og af sig selv og blot med borgerne som villige skaffedyr.

Henrik Sørensen

En sikkerhedstest af løn-, HR og økonomisystemer på det absolut travleste tidspunkt af året for den slags systemer lyder fuldstændig usandsynligt.

Jeg har til gode at møde en driftschef, der vil godkende den slags forsøg, mens hele forretningen laver årsafslutninger.

Der vil nok nærmere være frozen zone i denne periode, så der ikke foretages ændringer eller andet, der kan true daglig drift.

Er der tale om en sikkerhedshændelse, er det naturligvis i orden initialt ikke at fortælle mere end netop det, mens der udføres damage control og efterforskning igangsættes.

Men forsøger man at dække over det, ved at kalde det en planlagt øvelse, så underminerer det enhver form for tillid til den offentlige forvaltning af vores fælles data.

Michael Christensen

Når de skriver "af sikkerhedshensyn", så kan det da godt være, lige før nytår er der sikkert også lav aktivitet, men et varsel havde nok være OK, og jeg har ikke hørt nogle fortælle mig, at et sådant er udsendt. Og sætningen: "De har det fulde overblik" gør også, at jeg har mine tvivl om, hvad status er. Selv om alt er OK, så ville større åbenhed være at foretrække. Man kan også tale en krise, som ikke er der, op.

Henrik Sørensen

@Michael

Finansåret følger kalenderåret.

Nytår er derfor lig med årsafslutning i alle Statens systemer og dermed travlhed med at få de sidste indrapporteringer for 2017 på plads ... det er altså ikke lavsæson.

Som kontorchef godkender man i den periode ikke noget, der kan bringe styrelsens eller ministeriets evne til at rapportere rettidigt til Finansministeriet i fare.

Kurt Frederiksen

Ja, det er meget urealistisk. Prøv lige at se hvilke systemer det drejer sig om: "herunder blandt andet i lønsystemet, økonomisystemet og i rejseafregningssystemet."

Jeg vil godt se den IT revisor der uden bemærkning godtager en sådan procedure lige midt i årsafslutningen. Der skal da være særdeles specielle tilstande til før det er en god ide. Det kunne f.eks. være lækkede kodeord e.l.

Men som almindelige drift situation er det helt sort. Tænk bare på alle de stressede medarbejdere der kommer tilbage fra juleferie og nu skal skifte adgangskoder midt i årsafslutningen med ferieregnskaber o.s.v. Hvor gode adgangskoder laver de lige i det øjeblik?

Normalt får IT folk revet hoved af hvis de bare tænker på at ændre noget omkring økonomisystemerne i månederne op til og efter årsskiftet om så det "bare" er at skifte en printer, en skærm, tastatur eller mus.

Det eneste der kan få det til at se realistisk ud for mig er tanken om de mange fejlslagne offentlige IT-systemer gennem tiden. Men selv det mer jeg er langt ude.

Finn Christensen

Nytår er derfor lig med årsafslutning i alle Statens systemer og dermed travlhed med at få de sidste indrapporteringer for 2017 på plads ... det er altså ikke lavsæson.

Pludder, du overfører tro og mene fra den private sektor til staten (det offentlige), men de er på nogle områder vidt forskellige.

I staten kan der i dele af deres systemer fortsat indrapporteres i en periode til det gamle finansår (efterposteringer) i det nye år, og selvfølgeligt samtidigt med registrering til det nye finansår.

Levering af en vare eller udbetalt en løn vedrørende gammelt finansår indgår og registreres under gammelt finansår, selv om du faktisk er i Jan 2018.

Staten øger blot antallet af måneder i året, såleder der udover de kendte 12 måneder (perioder) også er Januar for periode 13 og Februar periode 14 etc. i året 2017 - et ægte KISS system.

http://www.admsys.stil.dk/-/media/ADMSYS/Navision-Stat/Dokumenter/Aarsre...

Finn Christensen

Men som almindelige drift situation er det helt sort. Tænk bare på alle de stressede medarbejdere der kommer tilbage fra juleferie og nu skal skifte adgangskoder midt i årsafslutningen med ferieregnskaber o.s.v. Hvor gode adgangskoder laver de lige i det øjeblik?

De få der evt. bliver stresset, blive det af helt andre årsager end passw. Du aner ikke hvad der foregår derinde.. ikke det fjerneste.

"Årsafslutningen for 2017 vil blive gennemført efter de samme overordnede retningslinjer som årsafslutningen for 2016. Det betyder, at første halvdel af januar måned 2018 kan anvendes til afslutning af periode 12, mens anden halvdel af januar måned vil blive reserveret til færdiggørelsen af periode 13."

Svend Nielsen

»Vi beklager de gener, som brugerne af systemerne har haft i forbindelse med opdateringen, men glæder os samtidig over, at alle systemer igen er i normal drift,« slutter Vicedirektøren sin kommentar.

Hvis der er tale om en planlagt øvelse, er det svært at forstå hvorfor man nu glæder sig over at systemerne igen er i "normal drift". Hvis man planlægger noget, må man vel betegne driften før, under og efter gennemførelsen af planen som normal - og så kan man glæde sig over at systemerne fortsat fungerer normalt. Hvis man glæder sig over at noget IGEN er normalt, må der have væren en unormal tilstand så hvad der det egentlig Vicedirektøren siger?

En anden ting: Hvis man nulstiller passwords, og tvinger brugerne til at oprette nye passwords, hvad er det så mere præcist der er tale om?
Hvad vil det i det hele taget sige at nulstille?
Bruger man 3 faktor login?
Og hvis man allerede har en 3-faktor login, hvorfor er det så pludselig blevet nødvendigt at "nulstille"?
Og hvis man ikke bruger 3-faktor login, skal brugeren så benytte sit gamle password, for at skifte til det nye? (og har man så opnået noget som helst ved at nulstille?)
Og har de brugere som benytter mere end 1 af de 10 systemer behov for at skifte passwords i alle systemerne?
Og giver en nulstilling højere eller lavere sikkerhed end man havde før?
Hvordan sikrer man sig, at uvedkommende ikke udnytter situationen, og ringer til sagesløse ansatte, under påskud af at hjælpe med nulstillingen?

Det må da løbe koldt ned ad rygge, på enhver sikkerhedsansvarlig.

Den sidste artikel i den gyser er bestemt ikke skrevet endnu. På med vanten: Aktindsigt - og det kan kun gå for langsomt.

Niels C Nielsen

I 2017 kom NIST med nye retningslinjer, der bl.a. gjorde op med den hidtidige "best practise" for passwords. Kort fortalt - slut med krav om høj kompleksitet og tvungne hyppige skift.

I stedet skal passwords nu blot være lange (mindst 8 og op til mindst 64 tegn), og de bør ikke stå i ordbøger eller blacklists. Hvis der er begrundet mistanke om, at password(s) kan være kompromitteret, skal der gennemtvinges en udskiftning.

Der er angiveligt et tvungent passwordskift i gang for alle Moderniseringsstyrelsens brugere. Hvis der er tale om et planlagt skift af passwordpolitik op til 2018, burde brugerne være blevet informeret herom på forhånd. Hvis ikke, så kommer der nok mere frem efter nytår, når alle igen er på arbejde, og 'de har det fulde overblik'.

Hvis der i styrelsen er mistanke om kompromittering/misbrug af passwords, så har de vel allerede informeret Datatilsynet, hvis deres beredskabsplan er opdateret og klar til Databeskyttelsesforordningen.

Bjarne Nielsen

Indebærer planlagt nulstilling af passwords, at systemer går ned?

Måske.

Som udgangspunkt, så må man forvente at kodeord kan skiftes uden nedetid.

Nedetid kan give mening, f.eks.:

  1. Systemet er konstrueret, så visse kodeord kun kan sætte ifm. opstart eller under specielle systemtilstande. Udvider vi kodeord til at betyde nøgler, så kan det give god mening.
  2. Det kan vel være, at der ikke er en effektiv metode, til at nulstille alle kodeord på en gang, og som ikke involverer at f.eks. man manipulerer med systemtabeller.
  3. Hvis man skifter system eller metode til autentifikation, så er det langt fra sikkert at kodeord kan migreres - og kan man meget vel betragte som en feature.
  4. Der kan være i øvrigt uafhængige systemer, hvor ændringen bør ske synkront.

Men jeg synes også at udmeldingerne fra centralt hold rejser flere spørgsmål end de besvarer - hvis målet var at rette op på det, som selv ministeren efter sigende erkender er et flosset image, så må man sige, at man har fejlet ... i hvert fald i første omgang.

Jesper Jepsen

Det statslige læringsløsning Campus bruges af folkeskolerne og her i huset fik konen en mail den 24 dec om at hun havde ændret password den 21 dec , hvilket hun ikke havde. Så blev der nulstillet password før onsdag den 27 dec som der siges? Således udelukket fra at kunne logge ind på alle systemer og på Chromebooken. Jeg ser en meget panisk og trav tid efter nytår hvis alle landets folkeskolelærere ikke kan logge ind i nogle af systemerne og spændt på om eleverne også er ramt.
Så igen ser vi et ministerium der er totalt ligeglad med brugerne/kunderne med mindre det koster chefferne i ministeriet penge og noget tyder på at der er en hel del som er mørkelagt og/eller ingen ved hvad der foregår( ikke utænkeligt) .

Mogens Lysemose

Et par gæt på årsager der kan have udløst "planlagt" nulstilling af passwords:
1) kompromiteret admin/root adgang. Ordet planlagt virker dog søgt her.
2. Skift (forbedring) af password hashing algoritme. Kan være man ikke har indset det invaliderer gamle password hashes. Så det hele kan være planlagt - eller planlagte ændringer med uforudsete konsekvenser.

Jesper Jepsen

Ikke "bare" den 24/12 konen fik at vide at hendes password var ændret den 21/12 så lyder som om nogen har lavet/fundet noget og ingen ved hvad der sker kombineret med embedsmen og minister der pr. rygmarvsreaktion nægter at fortælle sandheden og derfor snakke uden om ganske som de plejer. ( gad vide om de ved hvordan man siger sandheden og fortæller det hele.. dvs. uden at skjule noget og give andre skylden for noget der i virkeligheden ikke er sket.)

Cristian Ambæk

Dette er ikke andet end løgn til galleriet indtil andet er bevist, og Maria Damborg Hald burde straks fremlægge beviser for hendes udtalelse eller blive fjernet fra sin stilling, permanent.

Der vil eksistere notater, referater og emails til interne såvel som eksterne resourcer HVIS dette var planlagt, samt en plan for eksekvering, forventninger og tidshorisont.

Ingen virksomhed, organisation eller myndighed tager så ekstreme tiltag uden ENORM omtanke og slet ikke så hurtigt da det oftest er ekstremt svært at planlægge og har efterfølgende komplikationer af større eller mindre grad afhængig af systemerne. Og her var det alle kontier, også administratorer så vidt jeg husker.

Jesper Nielsen

  1. Bruger man 3 faktor login?
  2. Og hvis man ikke bruger 3-faktor login, skal brugeren så benytte sit gamle password, for at skifte til det nye? (og har man så opnået noget som helst ved at nulstille?)
  3. Og har de brugere som benytter mere end 1 af de 10 systemer behov for at skifte passwords i alle systemerne?

  1. 2-faktor? Nej.
  2. Man skal bruge "glemt password"-funktionen og vil så få en ny adgangskode via mail.
  3. Jeg har skullet ændre fire passwords: Til SLS, HR-Løn, ØDUP og LDV/Navision Stat. Og så har jeg — via mail (som anvist) — bedt om at få en ny adgangskode til den systembruger, som vores tids-
    og fraværsregistreringssystem bruger til integration med SLS via SLS Webservice.
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder