Flere ministerier blæser på de tiltag, som Rigsrevisionen i februar anbefalede en række statslige institutioner for at mindske deres risiko for at blive ramt af ransomwareangreb.
Det er den opsigtsvækkkende konklusion i et ny notat fra Rigsrevisionen, som følger op på en beretning fra februar om beskyttelsen mod ransomware i fire statslige organisationer.
I februar-rapporten skortede det - som omtalt på Version2 - ikke på eksempler på manglende it-sikkerhed i undersøgelsen af de fire organisationer, nemlig Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen:
Manglende sikkerhedsopdateringer, ingen whitelistening af programmer, ingen risikovurdering og manglende test af gendannelse af data var eksempler på, hvor værnet mod ransomware haltede.
Konklusionen fra Statsrevisorerne i vinter på baggrund af beretningen fra Rigsrevisionen var klar: De fire ministerier var alle for dårlige til at beskytte sig mod ransomwareangreb.
Vil ikke følge alle anbefalinger
I opfølgningen, som netop er udkommet, konstaterer Rigsrevisionen, at alle ministerier har implementeret eller planlægger at iværksætte en række tiltag, der skal rette op på de svagheder, som Rigsrevisionen påpegede, og dermed beskytte institutionerne mod ransomwareangreb.
Set over en bred kam er der f.eks. arbejdet på eller indført færre lokaladministratorrettigheder, tofaktor-login eller MDM-løsninger og offline-backup og test heraf, samt procedurer for hvordan data og systemer kan genetableres.
Men - og det er et vigtigt men - Rigsrevisionen må også konstatere, at ingen af ministerierne redegør for deres håndtering af alle de mangler, nemlig 20 beskyttelsestiltag, som Rigsrevisionen påpegede.
Dels er der punkter, hvor der mangler en beskrivelse af de anbefalede indsatser, og dels er nogle er redegørelserne uklare.
Men der er også to ministre, som ligefrem oplyser, at de ikke vil følge samtlige 20 anbefalinger fra Rigsrevisionen.
»2 ministre [oplyser], at de ikke planlægger at implementere ét af tiltagene, og det er uklart, hvilke kompenserende tiltag institutionerne eventuelt har iværksat, eller om risikoen fremgår af institutionernes risikoanalyse,« lyder det i rapporten fra Rigsrevisionen.
Sundhedsdatastyrelsen vil således ikke implementere tiltag, der forhindrer adgangen til private e-mailløsninger fra pc-arbejdspladsen.
Og Udenrigsministeriet er ude i noget af det samme, for her vil man ikke forhindre medarbejdernes brug af private e-mailløsninger, da ministeriet vurderer, at »det vil være en uhensigtsmæssig tung byrde i forhold til medarbejdernes arbejdsrytme og fleksibilitet«, som det lyder.
I stedet har Udenrigsministeriet oplyst, at man forhindrer, at skadelige filer mv. kan downloades og afvikles.
I Forsvarsministeriet og i Transport-, Bygnings- og Boligministeriet har man 'bare' udladt at fortælle, om man vil forhindre private e-mailløsninger.
Vil ikke forklare manglende tiltag
I en del andre tilfælde mangler der også en beskrivelse af indsatsen. Dvs. det er uklart, om det skyldes, at de anbefalede tiltag fra Rigsrevisionen er arkiveret lodret - eller om man bare ikke har fået gennemført tiltaget endnu.
Det gælder Udenrigsministeriet, der ikke oplyser, hvordan man vil følge op på awareness-kampagner, og transportministeren, der ikke forklarer, hvordan Banedanmark vil sikre, at kun godkendte programmer afvikles (whitelisting-løsning) - det gælder i øvrigt også for Beredskabsstyrelsen - eller hvilke tiltag Banedanmark har sat i værk for at sikre, at tredjepartsprodukter opdateres.
Rigsrevisionen understreger ellers igen, at »implementeringen af tiltagene sikrer en grundlæggende beskyttelse mod ransomwareangreb«.
Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om institutionernes implementering af tiltag, de steder hvor Rigsrevisionen påpegede mangler.