Trods sønderrivende kritik: Region Syd bruger 2,5 år på at lukke lokaladmin-huller i titusindvis
Region Syd har i løbet af det sidste halvandet år kun opdateret en god femtedel af de 19.000 lokaladmin-styrede Windows 7-enheder, regionen er blevet kritiseret voldsomt for at lade op mod 27.000 ansatte have lokaladminstrator-adgang til.
Og selvom regionen først forventer at være færdig med opdateringen til den mere sikre Windows 10 om et år, har man ikke lavet nogen midlertidig løsning, der forhindrer, at lokaladgangen udnyttes af ondsindede medarbejdere eller eksterne hackere i mellemtiden.
Man har med andre ord vurderet hos Region Syd, at sikkerhedstruslen fra lokaladgangen ikke er stor nok til, at det er noget, der skal fikses. Region Syd har med åbne øjne besluttet, at man ikke ville tage sine forholdsregler på det her område - selvom det netop var et af hovedpunkterne i Rigsrevisionens sønderrivende kritik.
»Vi vil hellere lave en langsigtet Windows 10-baseret løsning end lave en kortsigtet, midlertidig løsning. Desuden vurderer vi, at en midlertidig løsning på lokaladminstrator-problemet ville forsinke vores Windows 10-opdateringer, der løser problemet endeligt,« siger it-chef hos Region Syd, Morten Lundgaard.
Men det er en risikabel beslutning, lyder det fra Keld Norman, der er sikkerhedsekspert hos Dubex.
»Jeg ville klart installere en af de softwareløsninger, der fjerner lokaladminadgang, hvis jeg var it-chef. Og hvis der så er problemer med softwaren på nogle af enhederne, ja så må de beholde lokaladmin-adgangen, men så er nogle af de mange tusind enheder sikret.«
Han understreger, at lokaladmin-adgang som udgangspunkt betyder større muligheder for en angriber.
Åbent for hackeres svar på schweizerkniv
En af de trusler, man udsætter sig selv for er angreb med udbredte hackerværktøjer som Mimikatz, der udnytter et hul i Windows’ memory og på den måde kan tiltvinge sig adminstrator-rettigheder til angriberen.
Mimikatz betegnes af det Microsoft-specialiserede AD Security som hackerens svar på en schweizerkniv, et multitool, hvis man som hacker vil tilrane sig adgang til en windowsenhed.
Men har man ikke lokaladminadgang på enheden, ja så er Mimikatz næsten tandløs.
Udsættes konstant for angreb
Det bør i denne forbindelse bemærkes, at Region Syd selv i en pressemeddelelse til Version2 skriver, at ‘hackerangreb mod regionens systemer efterhånden er blevet hverdagskost’.
Driftschefen hos Region Syd, Flemming Brink, fortæller desuden, at regionens firewalls sorterer omkring 90 procent af alle indkommende mails fra som spam, og at firewallen får masser mindre angreb, den kan brænde af på daglig basis.
Derudover lykkes det faktisk hackere i mild grad at inficere nogle af regionens systemer med ransomware sidste år.
Så interessen for at komme indenfor i regionens systemer er til stede.
Flere løsninger
Derfor undrer det også Keld Norman, at man fra Region Syds side har valgt ikke at dæmme op for lokaladgangen til de mange enheder.
»Der findes mange løsninger derude, der ville fungere glimrende som en midlertidig løsning. Blandt andet er der programmer, der eksempelvis ville kunne give lægerne adminstrator-rettigheder fem minutter af gangen, før brugeren igen skulle logge sig ind,« lyder det fra sikkerhedseksperten.
På den måde ville man eliminere risikoen for, at malware udnytter lokaladmin-adgang og lægger sig end under systemet og gemmer sig og i al hemmelighed eksempelvis ødelægger en backup, inden den slår til.
Når det er sagt er der ifølge Keld Norman stadig mere og mere malware, der er ligeglad med lokaladmin-adgangen og som klarer sig nedslående godt uden.
Ikke desto mindre er der flere forskellige programmer, der for forholdsvis billige penge kan købes til netop at begrænse lokaladminadgangen, fortæller sikkerhedseksperten, der endnu engang understreger, at han ville bruge nogle af disse løsninger, hvis han var it-chef. om ikke andet så til de enheder, der aldrig har brug for admin-adgangen.
»For eksempel HR-afdelingen. Det er her, de fleste farlige dokumenter udefra lander første gang, men de har næppe brug for lokaladmin-adgang i deres daglige arbejde,« siger Keld Norman som eksempel.
Af hensyn til medarbejdere
Men når regionen har valgt at gøre som det er tilfældet, så er det ikke som udgangspunkt for at spare penge, men hovedsagelig af hensyn til arbejdsgangene på regionens hospitaler.
»Vi har jo en arbejdsgang, der skal fungere på sygehusene, siger driftschef Flemming Brink, der ikke ønsker at ‘skabe uro’, som han udtrykker det.
Han fortæller også, at man konkret oplever problemer med mange af de ældre systemer, der driver diverse hospitalsenheder. De fungerer simpelthen ikke til Windows10. Og før de kommer på plads, kan enheden der driver dem ikke opgraderes til Windows10. ‘App-porteføljen er simpelthen ikke klar endnu’, som Flemming Brink udtrykker det.
Derfor regner han med, at der vil gå et lille års tid mere, inden de sidste enheder er opdateret og sikret, og Flemming Brink tror, Region Syd vil være færdig med opdateringen inden næste sommerferie.
»Det tager blandt andet så lang tid, fordi der er så mange forskellige computere, der skal fungere med Windows 10, og de mange apps vi bruger har forskellige størrelser, forskellige udviklere og forskellig modenhed,« siger Flemming Brink.
Arbejder på flere fronter
Han fortæller desuden, at Region Syd generelt er i gang med en oprustning på sikkerheden. Man har oprettet et akut-team på fem mand, der er kla til at rykke ud, skulle Region Syds systemer blive angrebet.
Derudover har man investeret fem millioner ekstra i sikkerhed i år, der hovedsagelig er gået til en grundigere netværkssegmentering. Det svarer til et lille års it-sikkerhedsbudget i regionen.
Nogle af de ekstra penge skal også gå til, hvad Flemming Brink beskriver som en ‘sikker dropbox-løsning’.
»Vi er lige nu ved at finde en leverandør som et alternativ til, at vores medarbejdere bruger private dropboxløsninger. Altså til en firmaløsning, der er mere sikker, og som har styr på data,« fortæller Flemming Brink, der desuden oplyser, at Region Syd i skrivende stund har et system i test.
»Det bør også understreges, at vi generelt set overvåger al trafik ind og ud af vores systemer. Så selvom lokaladminstrator-adgangen tillader en medarbejder at installere et program, overvåger vi om det gør noget, et ikke skal,« lyder det fra Region Syds it-chef Morten Lundgaard.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
