Sundhedsdatastyrelsen dumper på basal it-sikkerhed: »Det er ikke raketvidenskab«

11 kommentarer.  Hop til debatten
Sundhedsdatastyrelsen dumper på basal it-sikkerhed: »Det er ikke raketvidenskab«
Illustration: Pressefoto fra Sundhedsdatastyrelsen.
Rigsrevisionen retter kritik mod Sundhedsdatastyrelsen for ikke at overholde de tekniske minimumskrav til it-sikkerhed. Kritikken tager styrelsen til sig, siger vicedirektøren.
21. januar kl. 09:49
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Fra 1. januar 2020 blev alle statslige myndigheder pålagt at efterleve 17 tekniske minimumskrav til it-sikkerhed, hvor yderligere tre krav blev tilføjet i juni 2020. Først var der problemer i flere ministerier, Folketinget og efterretningstjenester med at efterleve det specifikke krav om at implementere DNSSEC-teknologien, og for nylig fik fem myndigheder så kritik fra Rigsrevisionen for stadig ikke at overholde alle kravene.

Krav, myndighederne nu har haft mindst halvandet år til at opfylde.

»Når der er opsat nogle minimumskrav, der skulle effektueres for et år siden, er det ikke godt nok, at de ikke er blevet det,« siger Klaus Frandsen (RV), der er næstformand for Statsrevisorerne og har været med til at udarbejde Rigsrevisionens beretning. »Den tekniske del er ikke specielt avanceret – det er ikke it-raketvidenskab, der ligger i de 20 krav.«

Thomas Wong, der til daglig arbejder som teknisk direktør for det danske it-sikkerhedsfirma Improsec, forklarer, at minimumskravene er, ja, minimumskrav. Krav, en virksomhed, institution, organisation eller offentlig myndighed som minimum bør overholde, men som ikke nødvendigvis er fyldestgørende for it-sikkerheden.

Artiklen fortsætter efter annoncen

»Jeg tror ikke, der er nogen, der vil vove den påstand at følger du disse 20 minimumskrav, er du en sikker virksomhed. Omvendt kan man vende den om og sige, følger man dem ikke, så har man nogle huller i sikkerheden,« siger han.

»Som udgangspunkt er der ingen af de her krav, der ikke er overkommelige opgaver. Alt efter organisationen kan det tage noget tid at implementere dem, men de er overskuelige.«

Klaus Frandsen (RV) er næstformand for Statsrevisorerne.

Styrelse anerkender kritikken

Ud af de fem undersøgte myndigheder i Rigsrevisionens beretning, klarer Sundhedsdatastyrelsen sig værst. Her overholder man blot 12 ud af 20 minimumskrav.

Artiklen fortsætter efter annoncen

»Vi anerkender fuldt ud det tilsyn, Rigsrevisionen har lavet,« siger Vibeke van der Sprong, vicedirektør i Sundhedsdatastyrelsen.

»Vi er helt enige i, at der er tale om fornuftige minimumskrav, som offentlige myndigheder skal leve op til.«

Kravene skulle være overholdt allerede fra 1. januar 2020, så hvorfor overholder i dem ikke nu?

»En lang række af kravene var meget tæt på at være overholdt, da Rigsrevisionen afholdte deres tilsyn i august sidste år. Der er tale om komplekse løsninger på tværs af styrelser under Sundhedsministeriets område, men det ændrer ikke på, at det skal være i orden,« siger Vibeke van der Sprong.

»Samtidig har vi stået i en situation, hvor corona har overskygget alt, og har tvunget os til at prioritere at levere en række digitale løsninger i forbindelse med tests, coronapas og vaccinationer. Det har taget mandskab fra [minimumskravene].«

Har løst fem krav siden august

Hun tilføjer, at Sundhedsdatastyrelsen siden august har fået styr på fem krav og er tæt på at være i mål med de sidste tre.

De krav styrelsen har ordnet siden Rigsrevisionens visit i august, er krav 5 (regelmæssig opdatering af klienter), krav 10 (2-faktor-autentifikation eller direkte VPN-forbindelse), krav 11 (DMARC REJECT-policy på domæner), krav 15 (logning) og krav 18 (kryptering af kommunikation til hjemmesider).

To af de manglende krav afhænger, siger Vibeke van der Sprong, af eksterne forhold. Blandt andet skal styrelsen have sikkerhedsopdaterede operativsystemer, og skifte til DNSSEC på alle sine domæner.

Vibeke van der Sprong har været vicedirektør for Sundhedsdatastyrelsen siden april 2020.

For at løse førstnævnte krav har styrelsen bestilt nye PC’er, men de er blevet forsinket som konsekvens af problemerne med de globale forsyningskæder, mens sidstnævnte afhænger af, at andre organisationer, som styrelsen har nogle domæner med, får handlet på kravet, fortæller hun.

Endelig er der krav 13, der går på regelmæssig opdatering af mobile enheder - et krav ingen af de fem myndigheder, ifølge Rigsrevisionens beretning, opfylder.

»Det, vi har gjort, og som der også peges på i rapporten, er at kombinere de tekniske løsninger i form af MDM [Mobile Device Management] med løbende at opfordre alle medarbejdere til at sikkerhedsopdatere. Men der er jo en problemstilling knyttet til at sikre, at alle er opmærksomme på det og rent faktisk får trykket på sikkerhedsopdateringen,« siger Vibeke van der Sprong.

Hun fortæller, at det ikke er muligt at give en specifik tidsramme for, hvornår kravene er opfyldt, men at to af kravene forventes løst indenfor de næste par måneder, men det sidste muligvis først er løst hen på sommeren.

Ikke alle krav er lige

Thomas Wong, teknisk direktør for Improsec, pointerer, at de 20 minimumskrav har forskellige grader af kompleksitet. Han bruger telefonerne i krav 13 som eksempel.

Hvis man for eksempel ikke har et MDM-system – et stykke software, der gør, at en virksomhed kan håndtere og sikre alle dets mobile enheder fra ét, centralt system - bliver det op til den enkelte medarbejder at få opdateret sin mobil, men man har ikke mulighed for at kontrollere, om de gør det, forklarer Thomas Wong.

»Arbejdsbyrden afhænger meget af, hvor man er i forvejen. Har man rullet Outlook ud på mobilerne og kan styre pinkodekravene der, og den er sat til 4, er det relativt nemt at rulle ud til 6 karakterer i stedet for,« siger han. »Med det sagt er der ingen af kravene, hvor jeg tænker ’puha, det kommer godt nok til at være tungt at implementere’.«

En anden pointe er, at formuleringen i nogle af kravene lægger op til fortolkning.

»Regelmæssig testning [i krav 13] er et godt eksempel. Hvad er regelmæssigt? Årligt, månedligt, ugentligt? Det er tydeligvis en fortolkning. Her bør man finde et fast interval, når det nu er minimumskrav,« siger Thomas Wong.

I beretningen konstaterer Statsrevisorerne også, at fire af kravene er formuleret upræcist og kan give anledning til fortolkning. Det anbefales, at Finansministeriet - som Statens It hører under – retter på formuleringerne.

»Det duer ikke, at implementeringen hænger, fordi man ikke har fået afklaret fortolkningen af de enkelte krav,« siger Klaus Frandsen, næstformand for Statsrevisorerne.

Kravene hæver bunden

Thomas Wong understreger, at bare fordi en virksomhed eller organisation overholder de 20 minimumskrav, er det ikke ensbetydende med, at den er i mål med sin it-sikkerhed. Det er en start, der samtidig kan have den effekt, at det skaber opmærksomhed omkring it-sikkerhed i virksomheden. Han fortæller, at det kan give virksomheden anledning til at foretage flere sikkerhedsforanstaltninger.

»Har en virksomhed ikke tidligere haft pinkoder på sine medarbejderes mobiltelefoner og vælger at Implementere det, sker der et generelt løft i sikkerheden. Samtidig giver det også anledning til at overveje, om man bør gøre mere ved it-sikkerheden,« forklarer han og uddyber med et tænkt eksempel.

»Den dag, alle minimumskravene er implementeret, kan det være, man bør udvide til 40 nye krav. På den måde kan man langsomt hæve bunden. Det er dét, kravene er tænkt til – at hæve bunden, og ikke til at sætte loftet,« siger Thomas Wong.

Inden det overhovedet kan komme på tale, at kravene bliver fordoblet i antal, skal de fem undersøgte myndigheder lige have styr på de indledende 20 først. Det er den klare opsang fra Klaus Frandsen og Rigsrevisionen.

»Se at blive færdige med de ting, der er på listen her, og derudover få kigget på jeres egne installationer, om der, ud over det her minimumsniveau, er andre ting, man bør få kigget på,« siger han.

Du kan finde de 20 tekniske minimumskrav her.

11 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
11
29. januar kl. 18:22

Jeg er ikke helt enig med at telefoner/smartphones er fri for Malware. Det er ret mange eksempler på malware til især Android. Der er også det kendte eksempel Pegasus og rigtig mange angreb hvor sårbarheder i andre Apps, fx WhatsApp og Facebook udnyttes, og så er det eksemplerne hvor data lækkes pga brugeren installere apps der deler data med Google og alle andre i hele verden. Jeg syntes AV på smartphonens giver god mening både for virksomhed og bruger.

10
26. januar kl. 13:31

Eller bare droppe at skelne mellem "Klienter/PC'er" og "Mobiltelefoner og netværk", så de samme minimumskrav gælder for alle enheder.

Så kan man fjerne et par krav fra listen, så der er plads til nye.

9
26. januar kl. 13:15

Enig! ...og nej, jeg vil heller ikke tale for AV på telefonerne, som tingene er, men jeg vil forvente en konkret vurdering af alle aspekter i Mobile-Device-Management og skrive de vigtigste ind i kravene. F.eks. "En statslig myndighed skal kunne udføre MDM på mobileenheder, som kan tilgå organisationens systemer" ... eller noget i den stil.

8
26. januar kl. 12:40

René,

Jeg giver dig ret i, at telefonen bestemt ikke længere er noget, man blot snakker i. Og derfor er det efterhånden lidt tankevækkende, at vi benytter en app på telefonen til "2-factor" autentifikation mod MitID logins og på Google/Office365/...

Men der er ganske afgørende forskelle på PCer og telefoner: Hvor PC-branchen har været plaget af malware, er telefoner i praktisk forstand gået fri.

Telefonerne er gået fri, fordi de typisk auto-opdaterer, de henter software fra en screen'et kanal (app stores) og fordi de fra starten har haft effektiv indkapsling af programmer. Omvendt har (Windows) PCer haft gyselig dårlig sikkerhed i praksis, særlig når man tager i betragtning, hvor mange kræfter, firmaer overalt på kloden lægger i at forsøge at få styr på dem med policies, antivirus, osv.; dette er nok i særlig grad fordi Microsoft aldrig har haft success med at at få folk til at bruge gode offentlige softwarekanaler med kurateret software i stil med appstores og yum repositories.

Givet af telefonernes track record er helt, helt anderledes, må det også have konsekvens for, hvordan de håndteres. Fx. vil det i sandhed være tåbeligt, hvis nogen begynder at pippe om, at der skal installeres antivirus på dem (det vil kun tilføre angrebsflader, ikke robustgøre).

7
26. januar kl. 11:48

Det er min (anekdotiske) erfaring at medarbejdere hos private, såvel som offentlige virksomheder, tilgår mange af de samme systemer/netværk med hhv mobiltlf og PC.

I listen af minimumskrav, er der 7 krav til PC klienter og 2 krav til mobiltlf klienter. Jeg tror kravene er udformet på et tidspunkt hvor PC'en var det primære klientsystem, mens mobiltelefoner var noget man "ringede med". Min observation at klient use-casen har ændret sig, og det bør de 20 krav afspejle.

6
25. januar kl. 16:35

René, kan du uddybe?

5
25. januar kl. 09:24

Måske skulle man lige løbe henover de 20 minimumskrav igen? F.eks. tror jeg virkeligheden har overhalet differencierede krav til "PC klient" og "Mobiltelefoner".

4
23. januar kl. 22:11

..2016 artikel, <a href="https://www.version2.dk/artikel/sundhedsdataboss-kritik-af-centralt-it-…;.
hvor direktøren afslører sin manglende forståelse af nogen form for datasikkerhed

..ledelsens prioritering den er galt med?

Ledelser får ikke mange point og et flot cv ifm. gerningerne vedrørende it, og da slet ikke it-sikkerhed, så hvorfor dog bruge kræfterne på alle de andre menneskers følsomme oplysninger.

Da der heller ikke er nogen konsekvenser for slendrian, så er en prioritering jo lige til at overskue.

Se blot herunder. Hvor var problemet? Ulovligt, skal rettes op og så er den da ikke længere.

Året er 2015 - tænk på DAMD-basen, hvor folketinget må vedtage en lov, før de ulovlige høstede data slettes, da der er nogen, som med næb og klør gerne vil beholde og bruge dem.

Hver enkelt persom måtte selv skrive til Region Syddanmark og bede om at få slettet sine oplysninger. ..https://www.tv2fyn.dk/fyn/region-har-slettet-i-omstridt-database

https://www.version2.dk/artikel/vedtaget-ved-lov-ulovligt-indsamlede-damd-data-bliver-slettet-185403Vedtaget - Ulovligt indsamlede DAMD-data bliver slettet, men sker det så ?

Fifleriet og de søgte undskyldninger fortsatte selvfølgeligt ;) ..https://www.version2.dk/artikel/foelsomme-patientdata-der-skulle-have-vaeret-slettet-ligger-stadig-gemt-i-sql-databaser

Havde det nogen konsekvens for ledelsen eller ansatte - ukendt, men et gæt er "ingen konsekvens".

3
21. januar kl. 13:48

Sundhedsdatastyrelsen er vel sat i verden for at udbrede og nyttiggøre vores allesammens sundhedsdata, så hvad er problemet?

(spor af sarkasme kan forekomme)

1
21. januar kl. 10:57

Sundhedsdatastyrelsen har i alle Rigsrevisionens it-beretning været blandt de dårligest.

Mon det er antallet af it-ansatte, deres kompetancer eller ledelsens prioritering den er galt med?