Sundhedsdatastyrelsen dumper på basal it-sikkerhed: »Det er ikke raketvidenskab«
Fra 1. januar 2020 blev alle statslige myndigheder pålagt at efterleve 17 tekniske minimumskrav til it-sikkerhed, hvor yderligere tre krav blev tilføjet i juni 2020. Først var der problemer i flere ministerier, Folketinget og efterretningstjenester med at efterleve det specifikke krav om at implementere DNSSEC-teknologien, og for nylig fik fem myndigheder så kritik fra Rigsrevisionen for stadig ikke at overholde alle kravene.
Krav, myndighederne nu har haft mindst halvandet år til at opfylde.
»Når der er opsat nogle minimumskrav, der skulle effektueres for et år siden, er det ikke godt nok, at de ikke er blevet det,« siger Klaus Frandsen (RV), der er næstformand for Statsrevisorerne og har været med til at udarbejde Rigsrevisionens beretning. »Den tekniske del er ikke specielt avanceret – det er ikke it-raketvidenskab, der ligger i de 20 krav.«
Thomas Wong, der til daglig arbejder som teknisk direktør for det danske it-sikkerhedsfirma Improsec, forklarer, at minimumskravene er, ja, minimumskrav. Krav, en virksomhed, institution, organisation eller offentlig myndighed som minimum bør overholde, men som ikke nødvendigvis er fyldestgørende for it-sikkerheden.
»Jeg tror ikke, der er nogen, der vil vove den påstand at følger du disse 20 minimumskrav, er du en sikker virksomhed. Omvendt kan man vende den om og sige, følger man dem ikke, så har man nogle huller i sikkerheden,« siger han.
»Som udgangspunkt er der ingen af de her krav, der ikke er overkommelige opgaver. Alt efter organisationen kan det tage noget tid at implementere dem, men de er overskuelige.«
Styrelse anerkender kritikken
Ud af de fem undersøgte myndigheder i Rigsrevisionens beretning, klarer Sundhedsdatastyrelsen sig værst. Her overholder man blot 12 ud af 20 minimumskrav.
»Vi anerkender fuldt ud det tilsyn, Rigsrevisionen har lavet,« siger Vibeke van der Sprong, vicedirektør i Sundhedsdatastyrelsen.
»Vi er helt enige i, at der er tale om fornuftige minimumskrav, som offentlige myndigheder skal leve op til.«
Kravene skulle være overholdt allerede fra 1. januar 2020, så hvorfor overholder i dem ikke nu?
»En lang række af kravene var meget tæt på at være overholdt, da Rigsrevisionen afholdte deres tilsyn i august sidste år. Der er tale om komplekse løsninger på tværs af styrelser under Sundhedsministeriets område, men det ændrer ikke på, at det skal være i orden,« siger Vibeke van der Sprong.
»Samtidig har vi stået i en situation, hvor corona har overskygget alt, og har tvunget os til at prioritere at levere en række digitale løsninger i forbindelse med tests, coronapas og vaccinationer. Det har taget mandskab fra [minimumskravene].«
Har løst fem krav siden august
Hun tilføjer, at Sundhedsdatastyrelsen siden august har fået styr på fem krav og er tæt på at være i mål med de sidste tre.
De krav styrelsen har ordnet siden Rigsrevisionens visit i august, er krav 5 (regelmæssig opdatering af klienter), krav 10 (2-faktor-autentifikation eller direkte VPN-forbindelse), krav 11 (DMARC REJECT-policy på domæner), krav 15 (logning) og krav 18 (kryptering af kommunikation til hjemmesider).
To af de manglende krav afhænger, siger Vibeke van der Sprong, af eksterne forhold. Blandt andet skal styrelsen have sikkerhedsopdaterede operativsystemer, og skifte til DNSSEC på alle sine domæner.
For at løse førstnævnte krav har styrelsen bestilt nye PC’er, men de er blevet forsinket som konsekvens af problemerne med de globale forsyningskæder, mens sidstnævnte afhænger af, at andre organisationer, som styrelsen har nogle domæner med, får handlet på kravet, fortæller hun.
Endelig er der krav 13, der går på regelmæssig opdatering af mobile enheder - et krav ingen af de fem myndigheder, ifølge Rigsrevisionens beretning, opfylder.
»Det, vi har gjort, og som der også peges på i rapporten, er at kombinere de tekniske løsninger i form af MDM [Mobile Device Management] med løbende at opfordre alle medarbejdere til at sikkerhedsopdatere. Men der er jo en problemstilling knyttet til at sikre, at alle er opmærksomme på det og rent faktisk får trykket på sikkerhedsopdateringen,« siger Vibeke van der Sprong.
Hun fortæller, at det ikke er muligt at give en specifik tidsramme for, hvornår kravene er opfyldt, men at to af kravene forventes løst indenfor de næste par måneder, men det sidste muligvis først er løst hen på sommeren.
Ikke alle krav er lige
Thomas Wong, teknisk direktør for Improsec, pointerer, at de 20 minimumskrav har forskellige grader af kompleksitet. Han bruger telefonerne i krav 13 som eksempel.
Hvis man for eksempel ikke har et MDM-system – et stykke software, der gør, at en virksomhed kan håndtere og sikre alle dets mobile enheder fra ét, centralt system - bliver det op til den enkelte medarbejder at få opdateret sin mobil, men man har ikke mulighed for at kontrollere, om de gør det, forklarer Thomas Wong.
»Arbejdsbyrden afhænger meget af, hvor man er i forvejen. Har man rullet Outlook ud på mobilerne og kan styre pinkodekravene der, og den er sat til 4, er det relativt nemt at rulle ud til 6 karakterer i stedet for,« siger han. »Med det sagt er der ingen af kravene, hvor jeg tænker ’puha, det kommer godt nok til at være tungt at implementere’.«
En anden pointe er, at formuleringen i nogle af kravene lægger op til fortolkning.
»Regelmæssig testning [i krav 13] er et godt eksempel. Hvad er regelmæssigt? Årligt, månedligt, ugentligt? Det er tydeligvis en fortolkning. Her bør man finde et fast interval, når det nu er minimumskrav,« siger Thomas Wong.
I beretningen konstaterer Statsrevisorerne også, at fire af kravene er formuleret upræcist og kan give anledning til fortolkning. Det anbefales, at Finansministeriet - som Statens It hører under – retter på formuleringerne.
»Det duer ikke, at implementeringen hænger, fordi man ikke har fået afklaret fortolkningen af de enkelte krav,« siger Klaus Frandsen, næstformand for Statsrevisorerne.
Kravene hæver bunden
Thomas Wong understreger, at bare fordi en virksomhed eller organisation overholder de 20 minimumskrav, er det ikke ensbetydende med, at den er i mål med sin it-sikkerhed. Det er en start, der samtidig kan have den effekt, at det skaber opmærksomhed omkring it-sikkerhed i virksomheden. Han fortæller, at det kan give virksomheden anledning til at foretage flere sikkerhedsforanstaltninger.
»Har en virksomhed ikke tidligere haft pinkoder på sine medarbejderes mobiltelefoner og vælger at Implementere det, sker der et generelt løft i sikkerheden. Samtidig giver det også anledning til at overveje, om man bør gøre mere ved it-sikkerheden,« forklarer han og uddyber med et tænkt eksempel.
»Den dag, alle minimumskravene er implementeret, kan det være, man bør udvide til 40 nye krav. På den måde kan man langsomt hæve bunden. Det er dét, kravene er tænkt til – at hæve bunden, og ikke til at sætte loftet,« siger Thomas Wong.
Inden det overhovedet kan komme på tale, at kravene bliver fordoblet i antal, skal de fem undersøgte myndigheder lige have styr på de indledende 20 først. Det er den klare opsang fra Klaus Frandsen og Rigsrevisionen.
»Se at blive færdige med de ting, der er på listen her, og derudover få kigget på jeres egne installationer, om der, ud over det her minimumsniveau, er andre ting, man bør få kigget på,« siger han.
Du kan finde de 20 tekniske minimumskrav her.
