Trods sønderrivende kritik: Region Syd bruger 2,5 år på at lukke lokaladmin-huller i titusindvis

Odense Universitetshospital er ifølge Region Syd selv det mest specialiserede, regionen adminstrerer. Illustration: Google Street View
Regionen har valgt ikke lave midlertidige løsninger, mens udrulningen bliver færdig. Dårligt valg, lyder det fra sikkerhedsekspert, der peger på flere billige løsninger, der kan hjælpe regionen ud af hvad den selv beskriver som ‘gammel gæld’.

Region Syd har i løbet af det sidste halvandet år kun opdateret en god femtedel af de 19.000 lokaladmin-styrede Windows 7-enheder, regionen er blevet kritiseret voldsomt for at lade op mod 27.000 ansatte have lokaladminstrator-adgang til.

Læs også: Rigsrevisionen: Markant hacker-risiko i Region Syd med admin-rettigheder til 27.000 ansatte

Og selvom regionen først forventer at være færdig med opdateringen til den mere sikre Windows 10 om et år, har man ikke lavet nogen midlertidig løsning, der forhindrer, at lokaladgangen udnyttes af ondsindede medarbejdere eller eksterne hackere i mellemtiden.

Man har med andre ord vurderet hos Region Syd, at sikkerhedstruslen fra lokaladgangen ikke er stor nok til, at det er noget, der skal fikses. Region Syd har med åbne øjne besluttet, at man ikke ville tage sine forholdsregler på det her område - selvom det netop var et af hovedpunkterne i Rigsrevisionens sønderrivende kritik.

»Vi vil hellere lave en langsigtet Windows 10-baseret løsning end lave en kortsigtet, midlertidig løsning. Desuden vurderer vi, at en midlertidig løsning på lokaladminstrator-problemet ville forsinke vores Windows 10-opdateringer, der løser problemet endeligt,« siger it-chef hos Region Syd, Morten Lundgaard.

Læs også: Region Syddanmark lægger sig fladt ned: Har ikke ført tilsyn med sundhedsdata

Men det er en risikabel beslutning, lyder det fra Keld Norman, der er sikkerhedsekspert hos Dubex.

»Jeg ville klart installere en af de softwareløsninger, der fjerner lokaladminadgang, hvis jeg var it-chef. Og hvis der så er problemer med softwaren på nogle af enhederne, ja så må de beholde lokaladmin-adgangen, men så er nogle af de mange tusind enheder sikret.«

Han understreger, at lokaladmin-adgang som udgangspunkt betyder større muligheder for en angriber.

Åbent for hackeres svar på schweizerkniv

En af de trusler, man udsætter sig selv for er angreb med udbredte hackerværktøjer som Mimikatz, der udnytter et hul i Windows’ memory og på den måde kan tiltvinge sig adminstrator-rettigheder til angriberen.

Mimikatz betegnes af det Microsoft-specialiserede AD Security som hackerens svar på en schweizerkniv, et multitool, hvis man som hacker vil tilrane sig adgang til en windowsenhed.

Læs også: Efter skarp it-sikkerhedskritik af Region Syd: Nu skal download af programmer godkendes

Men har man ikke lokaladminadgang på enheden, ja så er Mimikatz næsten tandløs.

Udsættes konstant for angreb

Det bør i denne forbindelse bemærkes, at Region Syd selv i en pressemeddelelse til Version2 skriver, at ‘hackerangreb mod regionens systemer efterhånden er blevet hverdagskost’.

Driftschefen hos Region Syd, Flemming Brink, fortæller desuden, at regionens firewalls sorterer omkring 90 procent af alle indkommende mails fra som spam, og at firewallen får masser mindre angreb, den kan brænde af på daglig basis.

Derudover lykkes det faktisk hackere i mild grad at inficere nogle af regionens systemer med ransomware sidste år.

Så interessen for at komme indenfor i regionens systemer er til stede.

Flere løsninger

Derfor undrer det også Keld Norman, at man fra Region Syds side har valgt ikke at dæmme op for lokaladgangen til de mange enheder.

»Der findes mange løsninger derude, der ville fungere glimrende som en midlertidig løsning. Blandt andet er der programmer, der eksempelvis ville kunne give lægerne adminstrator-rettigheder fem minutter af gangen, før brugeren igen skulle logge sig ind,« lyder det fra sikkerhedseksperten.

På den måde ville man eliminere risikoen for, at malware udnytter lokaladmin-adgang og lægger sig end under systemet og gemmer sig og i al hemmelighed eksempelvis ødelægger en backup, inden den slår til.

Når det er sagt er der ifølge Keld Norman stadig mere og mere malware, der er ligeglad med lokaladmin-adgangen og som klarer sig nedslående godt uden.

Ikke desto mindre er der flere forskellige programmer, der for forholdsvis billige penge kan købes til netop at begrænse lokaladminadgangen, fortæller sikkerhedseksperten, der endnu engang understreger, at han ville bruge nogle af disse løsninger, hvis han var it-chef. om ikke andet så til de enheder, der aldrig har brug for admin-adgangen.

»For eksempel HR-afdelingen. Det er her, de fleste farlige dokumenter udefra lander første gang, men de har næppe brug for lokaladmin-adgang i deres daglige arbejde,« siger Keld Norman som eksempel.

Af hensyn til medarbejdere

Men når regionen har valgt at gøre som det er tilfældet, så er det ikke som udgangspunkt for at spare penge, men hovedsagelig af hensyn til arbejdsgangene på regionens hospitaler.

»Vi har jo en arbejdsgang, der skal fungere på sygehusene, siger driftschef Flemming Brink, der ikke ønsker at ‘skabe uro’, som han udtrykker det.

Han fortæller også, at man konkret oplever problemer med mange af de ældre systemer, der driver diverse hospitalsenheder. De fungerer simpelthen ikke til Windows10. Og før de kommer på plads, kan enheden der driver dem ikke opgraderes til Windows10. ‘App-porteføljen er simpelthen ikke klar endnu’, som Flemming Brink udtrykker det.

Derfor regner han med, at der vil gå et lille års tid mere, inden de sidste enheder er opdateret og sikret, og Flemming Brink tror, Region Syd vil være færdig med opdateringen inden næste sommerferie.

»Det tager blandt andet så lang tid, fordi der er så mange forskellige computere, der skal fungere med Windows 10, og de mange apps vi bruger har forskellige størrelser, forskellige udviklere og forskellig modenhed,« siger Flemming Brink.

Arbejder på flere fronter

Han fortæller desuden, at Region Syd generelt er i gang med en oprustning på sikkerheden. Man har oprettet et akut-team på fem mand, der er kla til at rykke ud, skulle Region Syds systemer blive angrebet.

Derudover har man investeret fem millioner ekstra i sikkerhed i år, der hovedsagelig er gået til en grundigere netværkssegmentering. Det svarer til et lille års it-sikkerhedsbudget i regionen.

Nogle af de ekstra penge skal også gå til, hvad Flemming Brink beskriver som en ‘sikker dropbox-løsning’.

»Vi er lige nu ved at finde en leverandør som et alternativ til, at vores medarbejdere bruger private dropboxløsninger. Altså til en firmaløsning, der er mere sikker, og som har styr på data,« fortæller Flemming Brink, der desuden oplyser, at Region Syd i skrivende stund har et system i test.

»Det bør også understreges, at vi generelt set overvåger al trafik ind og ud af vores systemer. Så selvom lokaladminstrator-adgangen tillader en medarbejder at installere et program, overvåger vi om det gør noget, et ikke skal,« lyder det fra Region Syds it-chef Morten Lundgaard.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Man må da ikke håbe, at noget af al den forskning i vore meget følsomme, tvangsindhentede sundhedsdata mm., som man driver fra Region Syddanmark, og som man i forvejen jævnligt lyver om mht, anonymitet, behandles på nogen af disse usikre maskiner?

Fromt, men naivt håb....

  • 9
  • 0
Maciej Szeliga

...hvad det er som kræver admin adgang ?
Jeg mener ikke at have set "noget" som krævede admin adgang for daglig kørsel siden XP, så som jeg ser det så er der noget galt med selve arbejdsgangene - og det vil sandsynligvis bare blive migreret over på Windows 10.

  • 9
  • 0
Poul Kristiansen

@Mads Lorenzen:

Er 100% enig i at debatreglerne skal overholdes, men kan du ikke lige forklare mig hvor i de 3 indlæg over din kommentar dette ikke er tilfældet.

Jeg kan i hvert fald ikke se at Anne-Marie eller Maciej skriver noget anstødeligt i deres indlæg.

Hvis du hentyder til Anne-Maries bemærkning om at "... som man driver fra Region Syddanmark, og som man i forvejen jævnligt lyver om mht, anonymitet ..." så synes jeg ikke du har ret, da de i flere tilfælde har løjet om anonymitet, mv. Så kan vi konkludere at man ikke længere må kalde en spade for en spade på V2?

Mvh,
Poul

  • 7
  • 0
Mads Lorenzen Journalist

Hej Poul. De ovenstående indlæg er ikke problematiske, men det er det indlæg, der nu er fjernet og som i første omgang affødte min kommentar.

Som det også fremgår (noget subtilt) af overskriften på mit indlæg, så svarer jeg på et indlæg der er væk nu.

Beklager, hvis det har skabt forvirring.

  • 9
  • 3
Claus Petersen

@Mads Lorenzen:

Er 100% enig i at debatreglerne skal overholdes, men kan du ikke lige forklare mig hvor i de 3 indlæg over din kommentar dette ikke er tilfældet.

Tænkte lidt det samme, men måske et indlæg der er blevet slettet... Argh ser først de øvrige kommentare nu, man skal huske at læse hele indholdet før man poster et indlæg, SORRY!

  • 2
  • 0
Bjarne Nielsen

...kan du ikke lige forklare mig hvor i de 3 indlæg over din kommentar dette ikke er tilfældet.

Ja, det vil jeg egentlig også godt vide. For udover en lidt underlig overskift, så har vi ikke andet grundlag at danne vores mening på, og så må der jo være noget helt galt med de tre foranstående indlæg.

En uddybende forklaring vil være yderst velkommen.

  • 5
  • 1
Anders Tryka

Derudover har man investeret fem millioner ekstra i sikkerhed i år, der hovedsagelig er gået til en grundigere netværkssegmentering. Det svarer til et lille års it-sikkerhedsbudget i regionen.

Man kommer dæleme ikke langt med et IT sikkerhedsbudget på under 200 kr. pr. IT bruger pr. år... (5 mio. kroner vs. 27.000 brugere)

Når man ikke har et budget til IT sikkerhed, så giver det da meget god mening, at driftschefen forfalder til 'vi venter til vi er opgraderet til Windows 10' -rygsvømning... Og når de så har fået Windows 10 på alle maskiner, så skal de til at vælge alle sikkerhedsprodukterne til... og når det er gjort, så er der ikke noget tilbage på sikkerhedsbudgettet, i øvrigt.

  • 2
  • 0
Leif Ebbesen

I kan læse Henriks debatindlæg på google cache

Hård tone, men sandheden er ubehagelig.

Hvis man ser bort fra den lidt perfide tone, var det intet i vejen med det faglige niveau.

Tvært imod. Det var noget højere end danske Regioner og det redaktionen på Version2 præstere.

Han havde endda rettet journalistens slåfejl - dem har han ikke selv rettet endnu.

  • 3
  • 7
Kim Henriksen

Jeg mener ikke at have set "noget" som krævede admin adgang for daglig kørsel siden XP

Skulle ikke undre mig at det er gammel XP software, de stadigvæk bruger.

Men altså, det at folk har admin rettigheder, er bare en af de mange sindsyge ting jeg har set i forbindelse med sundheds IT.

F.eks. er HTTPS og kryptering mere undtagelsen end reglen, dvs alt fra sundheds data til de ansattes logins m.m. bevæger sig rundt i lokalnettet i klartekst.

  • 3
  • 0
Jesper Hansen

F.eks. er HTTPS og kryptering mere undtagelsen end reglen, dvs alt fra sundheds data til de ansattes logins m.m. bevæger sig rundt i lokalnettet i klartekst.


Det virker som en udbredt (mis)forståelse, at hvis bare det er på lokalnettet, så behøver man ikke HTTPS. Har set flere kommunale systemer med persondata, hvor det er tilfældet.

Eller systemer med persondata som kan tilgås eksternt, og bare kræver brugernavn & password. Ingen to-faktor eller andre måder at holde øje med logins eller misbrug. Det koster jo penge, og de penge er brugt på systemet må man jo forstå. Suk.

  • 2
  • 1
Hans Nielsen

Som det også fremgår (noget subtilt) af overskriften på mit indlæg, så svarer jeg på et indlæg der er væk nu.


Ja en del af V2 tåbelig håndtering af kommentatorsporet.
I stedet for at angive at indlæg er fjernet på grund af manglende overholdelse af debatregler. Så fjerner i normalt indlæg uden at kommentere det. Så det bare helt er pist væk, selv om det kan være del af en længere debat, som så pludselig bliver totalt uforståeligt.

Efter at john strand er smidt helt ud af debatten af v2, er det dog sjældent at hele kommentarer spor bliver fjernes, så lange og mange indlæg bliver totalt uforståeligt.

Hvis i alligevel fjerner indlæg på denne måde, så kan jeg dog stadig ikke forstår at i også skal skrive noget i debatten. Jeg formoder at i selv giver den "skyldige" direkte besked ?

  • 2
  • 0
Maciej Szeliga

Det ikke er domain users men NT AUTHORITY\Authenticated Users der er medlem af den lokale administratorgruppe, at brugerne som udgangspunkt ikke har adgang til fjernskrivebord og at LanmanServer/Server servicen er deaktiveret på klienterne?


I betragtning af at Authenticated Users på en maskine i et AD er effektivt det samme som Domain Users så er det det samme: når du bliver godkendt ved login havner du i Authenticated Users.

Det betyder meget lidt om RDP er aktiv eller ej for man misbruger den påloggede bruger til at instellere malwaren - via en mail eller en link på en hjemmeside.

  • 0
  • 0
Claus Haulund

Synes det er yderst besynderligt at man vælger den tilgang. Hvorfor ikke reparere de huller og uhensigtsmæssige opsætninger man kan - det tager få uger. Naturligvis skal der laves en ny fin Win10 installation - men den bliver også usikkerover tid er jeg sikker på :). Man kommer altid til at adressere sikkerheds udfordringer løbende. Noget andet er at alle klienter kan "tale" sammen på alle porte selv om de intet har at tale om. Dårlig planlagt netværks opsætning eller er der grunde til det. Men mon ikke de har grunde til deres valg selv om det er virkelig svært at se logikken i.

  • 0
  • 0
Bo Andersen

"Ikke desto mindre er der flere forskellige programmer, der for forholdsvis billige penge kan købes til netop at begrænse lokaladminadgangen, fortæller sikkerhedseksperten, der endnu engang understreger, at han ville bruge nogle af disse løsninger, hvis han var it-chef."

Kan nogen fortælle om hvilke programmer han henviser til ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize