To ministerier blæser på Rigsrevisionens it-anbefalinger mod ransomware

Illustration: master1305/Bigstock
Sundhedsdatastyrelsen og Udenrigsministeriet vil ikke forhindre medarbejderne i at bruge private e-mailløsninger på arbejdspladsen. Heller ikke selv om det indgår i værnet mod ransomware og er anbefalet af Rigsrevisionen.

Flere ministerier blæser på de tiltag, som Rigsrevisionen i februar anbefalede en række statslige institutioner for at mindske deres risiko for at blive ramt af ransomwareangreb.

Det er den opsigtsvækkkende konklusion i et ny notat fra Rigsrevisionen, som følger op på en beretning fra februar om beskyttelsen mod ransomware i fire statslige organisationer.

I februar-rapporten skortede det - som omtalt på Version2 - ikke på eksempler på manglende it-sikkerhed i undersøgelsen af de fire organisationer, nemlig Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen:

Manglende sikkerhedsopdateringer, ingen whitelistening af programmer, ingen risikovurdering og manglende test af gendannelse af data var eksempler på, hvor værnet mod ransomware haltede.

Læs også: Rigsrevisionen dumper fire statslige institutioners værn mod ransomware

Konklusionen fra Statsrevisorerne i vinter på baggrund af beretningen fra Rigsrevisionen var klar: De fire ministerier var alle for dårlige til at beskytte sig mod ransomwareangreb.

Vil ikke følge alle anbefalinger

I opfølgningen, som netop er udkommet, konstaterer Rigsrevisionen, at alle ministerier har implementeret eller planlægger at iværksætte en række tiltag, der skal rette op på de svagheder, som Rigsrevisionen påpegede, og dermed beskytte institutionerne mod ransomwareangreb.

Set over en bred kam er der f.eks. arbejdet på eller indført færre lokaladministratorrettigheder, tofaktor-login eller MDM-løsninger og offline-backup og test heraf, samt procedurer for hvordan data og systemer kan genetableres.

Men - og det er et vigtigt men - Rigsrevisionen må også konstatere, at ingen af ministerierne redegør for deres håndtering af alle de mangler, nemlig 20 beskyttelsestiltag, som Rigsrevisionen påpegede.

Dels er der punkter, hvor der mangler en beskrivelse af de anbefalede indsatser, og dels er nogle er redegørelserne uklare.

Men der er også to ministre, som ligefrem oplyser, at de ikke vil følge samtlige 20 anbefalinger fra Rigsrevisionen.

»2 ministre [oplyser], at de ikke planlægger at implementere ét af tiltagene, og det er uklart, hvilke kompenserende tiltag institutionerne eventuelt har iværksat, eller om risikoen fremgår af institutionernes risikoanalyse,« lyder det i rapporten fra Rigsrevisionen.

Sundhedsdatastyrelsen vil således ikke implementere tiltag, der forhindrer adgangen til private e-mailløsninger fra pc-arbejdspladsen.

Og Udenrigsministeriet er ude i noget af det samme, for her vil man ikke forhindre medarbejdernes brug af private e-mailløsninger, da ministeriet vurderer, at »det vil være en uhensigtsmæssig tung byrde i forhold til medarbejdernes arbejdsrytme og fleksibilitet«, som det lyder.

I stedet har Udenrigsministeriet oplyst, at man forhindrer, at skadelige filer mv. kan downloades og afvikles.

I Forsvarsministeriet og i Transport-, Bygnings- og Boligministeriet har man 'bare' udladt at fortælle, om man vil forhindre private e-mailløsninger.

Vil ikke forklare manglende tiltag

I en del andre tilfælde mangler der også en beskrivelse af indsatsen. Dvs. det er uklart, om det skyldes, at de anbefalede tiltag fra Rigsrevisionen er arkiveret lodret - eller om man bare ikke har fået gennemført tiltaget endnu.

Det gælder Udenrigsministeriet, der ikke oplyser, hvordan man vil følge op på awareness-kampagner, og transportministeren, der ikke forklarer, hvordan Banedanmark vil sikre, at kun godkendte programmer afvikles (whitelisting-løsning) - det gælder i øvrigt også for Beredskabsstyrelsen - eller hvilke tiltag Banedanmark har sat i værk for at sikre, at tredjepartsprodukter opdateres.

Rigsrevisionen understreger ellers igen, at »implementeringen af tiltagene sikrer en grundlæggende beskyttelse mod ransomwareangreb«.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om institutionernes implementering af tiltag, de steder hvor Rigsrevisionen påpegede mangler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Skov

Det er næppe overraskende at det lige præcis er ministeriet der tilsyneladende ikke har haft styr på deres IT-system i forbindelse med Tibet-sagen og en af de styrelser der ikke kan administrere informationsgivning der gør indsigelse.

Til sundheds-datastyrelsens credit ser det ud til at de har en enorm liste af forbedringer de arbejder med. Bedre sent end aldrig, men man kan også konkludere derudfra at det har sejlet med adgangs-håndtering og at holde programmer opdateret!

  • 7
  • 2
Kjeld Flarup Christensen

I realiteten betyder det, at man ikke må bruge privat email på PC-arbejdspladsen, at man ikke må bruge sin arbejds PC privat.

Det betyder også, at man skal have en privat og en arbejds PC stående på skrivebordet hjemme. Og at man skal skifte mellem dem i hele tiden. Det er måske lidt upraktisk når man er PÅ hele tiden.
Men så kan det måske være en opfordring til at drosle ned udenfor arbejdstid.

Noget andet er så, er det i orden at bruge arbejds-email løsninger på en privat PC.

  • 2
  • 0
Deleted User

At Udenrigsministeriet har en særlig (ahem) opfattelse af sikkerhed er ingen nyhed. Har du prøvet at gennemtvinge en https forbindelse til um.dk for nylig? Man får godt nok kontakt, men bankes tilbage til en komplet usikker http forbindelse. Det er ingen nyhed. Jeg har personligt “brokket mig” gennem flere år (kan dokumenteres), od enkelte gange modtaget svar, om at det var med i overvejelserne fremover (eller noget i den stil).

Enhver hosted hjemmeside - corner-shop eller hobby webside - har for længst indført brug af certifikater og https tvang. Udenrigsministeriet er stadig udfordret på området. Har checket igen i dag.

Det er endnu ikke lykkedes mig noget sted på kloden at få en https forbindelse til um.dk. Det må - efterhånden - være en bevidst handling fra udenrigsministeriets side, at borgere i nød potentielt kan udsættes for yderligere problemer, hvis udenlandsk aflytning benytter Google Translator på linje med det danske forsvar. De konsekvenser var jo heller ikke ligefrem indlysende heldige.

Udenrigsministeriets svar demonstrerer tydeligt manglen på sikkerhedsforståelse. Og NÅR det en dag går galt, og gutterne fra de bonede gulve er blevet lænset for interne borgeroplysninger- ups-hændelse - vil forklaringen lyde, at det kunne man jo ikke forudse. Man havde jo en gentlemans agreement...

Indstillingen til brugen af personlig mail på arbejdspladsen lugter lidt af, at Fie Longnail Stiletto fra receptionen, har en lidt for god forbindelse til sikkerhedsområdet. Deres forklaring minder lidt om “sikker sex” rådet, der heller aldrig har afholdt (forretnings)rejsende (begge køn) at hive en slem omgang “Sofie eller Gunnar” med hjem som souvenir fra rejsen.

Gad vide om... nå nej, det kan aldrig tænkes, at ansatte i Udenrigsministeriets sikkerhedsafdeling ha en ekstratjans med at sikre et enkelt flow af informationer til eksterne interessenter. Vel?

  • 6
  • 2
Hans Nielsen

I realiteten betyder det, at man ikke må bruge privat email på PC-arbejdspladsen, at man ikke må bruge sin arbejds PC privat.


Der står hvis ingen steder, at du skal have adgang til Facebook og Youtube i arbejdstiden :-)

Du kan nemt sende en privat mail til en person via virksomheds mail,.
Du skriver "PRIVAT" i emne.
Og i de her smartphone tider, så bør man kunne holde alt det som er privat, og man gerne vil tilgå i arbejdslivet på den.

Vil da mene at det er fuldkommen tåbeligt at bruge samme PC til både privat og arbejde. Ikke kun på grund af sikkerhed, men også at få roddet ens gendannelse konto til steam, gmail battlenet og lignende sammen med ens arbejde ?
Ud over den nemmere adskilles af privatliv og arbejde, hvad betyder det så at have 2 pc'er stående. Mange har flere.
Vi taler jo ikke om, at man ikke lige kan åbne en browser, og se efter vejret eller høre/se korte nyheder.

  • 8
  • 0
Frank Jumppanen Andersen

det er absolut muligt at sikre privat mailadgang genem f.eks. cloud baserede sikkerhedstjenester. Vi har i mange år benyttet Scansafe / CWS til AL internet trafik - inkl, skanning i HTTPS strømme.
Dette har vi nu omlagt til Umbrella.

Der findes andre tilsvarende interne og eksterne løsninger, hvor man kan bevare en god service til brugerne, og samtidig opretholde et fornuftigt sikkerhedsniveau.

  • 1
  • 0
Anne-Marie Krogsbøll

Sundhedsdatastyrelsen .....

Meget betryggende - er det ikke dem, der skal være ansvarlige for Nationalt Genomcenter?

De har vel ikke lyst til, at nogen skal kunne kigge dem over skulderen mht., hvad det bliver brugt til. Så hellere kontakt med diverse forskere og firmaer via privat mail.... det ved man da, hvad er, og der gælder Offentlighedsloven vel ikke (i praksis)?

  • 4
  • 3
Keld Rasmussen

Nogle kommuner er begyndt at se i den retning der hedder private virksomheder. Kan man drage nytte af at virksomheder i det private kunne bistå i statens tjeneste.
At man ikke tager dette mere alvorligt tyder jo på man ikke følger med i hvad der foregår i hverdagen. Virksomheder her i landet bliver mere og mere ramt af hackerangreb men også ransomeware.

Der findes et produkt (Kaspersky) der kan håndtere disse angreb også hvis angrebet skulle flytte sig til skyen.

Men man kan håbe at når man er blevet ramt af ransomeware at ministerierne selv skal betale. Ved godt det ikke kommer til at ske - griner

  • 1
  • 1
Brian Schmidt Pedersen

Nu omhandler rigsrevisionens rapport, mig bekendt, ikke eksternt hostede systemer. En simpel trace på hvor websiden um.dk er hosted, viser ret tydeligt at det ikke er hosted hos Udenrigsministeriet selv.

Det sagt, så er um.dk, mig bekendt, kun information til besøgende. Så hvis du er bange for at en fremmed magt skal se du besøger um.dk, så beskytter SSL ikke mod det. Hvis du er bange for at nogen DNS spoofer um.dk og sender dig til en Google translated version (var den eneste logiske sammenhæng jeg kunne finde i din anekdote) i håb om at du sender dem information, eller med intention om at give dig misinformation, så kan jeg godt se pointen i at SSL krypteret forbindelse er bedre (jeg har også selv brokket mig over det til Udenrigsministeriets webmaster).

Kommunikation mellem den besøgende og um er jeg overbevist om henvises til digital post. Ret mig gerne hvis jeg tager fejl.

Jeg må også tilstå at jeg ikke forstår din anekdote omkring sikker sex og adgang til personlige webmail tjenester, når det fremgår af nyheden at der blokeres for at kunne hente skadelig kode ned? Faktisk var der en del anekdotiske referencer jeg ikke helt forstod. Måske det bare er mig.

  • 0
  • 3
Hans Nielsen

https://www.dr.dk/nyheder/viden/teknologi/ekspert-undrer-sig-over-hacker...

KL er allerede begynde med at lægge ansvaret fralægge sig ansvaret, og vil høre deres leverandør :-)

  • Det må blive den første 14 millioner til det offentligt ?

Er alle underrettet og er procedure i GPDR fuldt ?

Hvis ikke kan bøden jo stige fra de 2 til 4 procent.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Flere ministerier blæser på de tiltag, som Rigsrevisionen i februar anbefalede en række statslige institutioner for at mindske deres risiko for at blive ramt af ransomwareangreb. Det er den opsigtsvækkkende konklusion i et ny notat fra Rigsrevisionen, som følger op på en beretning fra februar om beskyttelsen
mod ransomware i fire statslige organisationer. I februar-rapporten skortede det - som omtalt på Version2 - ikke på eksempler på manglende it-sikkerhed i undersøgelsen af de fire organisationer, nemlig Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen: Manglende sikkerhedsopdateringer, ingen whitelistening af programmer, ingen risikovurdering og mangl...