Trods sønderrivende kritik: Region Syd bruger 2,5 år på at lukke lokaladmin-huller i titusindvis

25 kommentarer.  Hop til debatten
Trods sønderrivende kritik: Region Syd bruger 2,5 år på at lukke lokaladmin-huller i titusindvis
Illustration: Google Street View.
Regionen har valgt ikke lave midlertidige løsninger, mens udrulningen bliver færdig. Dårligt valg, lyder det fra sikkerhedsekspert, der peger på flere billige løsninger, der kan hjælpe regionen ud af hvad den selv beskriver som ‘gammel gæld’.
18. juli 2018 kl. 05:02
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Region Syd har i løbet af det sidste halvandet år kun opdateret en god femtedel af de 19.000 lokaladmin-styrede Windows 7-enheder, regionen er blevet kritiseret voldsomt for at lade op mod 27.000 ansatte have lokaladminstrator-adgang til.

Og selvom regionen først forventer at være færdig med opdateringen til den mere sikre Windows 10 om et år, har man ikke lavet nogen midlertidig løsning, der forhindrer, at lokaladgangen udnyttes af ondsindede medarbejdere eller eksterne hackere i mellemtiden.

Man har med andre ord vurderet hos Region Syd, at sikkerhedstruslen fra lokaladgangen ikke er stor nok til, at det er noget, der skal fikses. Region Syd har med åbne øjne besluttet, at man ikke ville tage sine forholdsregler på det her område - selvom det netop var et af hovedpunkterne i Rigsrevisionens sønderrivende kritik.

»Vi vil hellere lave en langsigtet Windows 10-baseret løsning end lave en kortsigtet, midlertidig løsning. Desuden vurderer vi, at en midlertidig løsning på lokaladminstrator-problemet ville forsinke vores Windows 10-opdateringer, der løser problemet endeligt,« siger it-chef hos Region Syd, Morten Lundgaard.

Artiklen fortsætter efter annoncen

Men det er en risikabel beslutning, lyder det fra Keld Norman, der er sikkerhedsekspert hos Dubex.

»Jeg ville klart installere en af de softwareløsninger, der fjerner lokaladminadgang, hvis jeg var it-chef. Og hvis der så er problemer med softwaren på nogle af enhederne, ja så må de beholde lokaladmin-adgangen, men så er nogle af de mange tusind enheder sikret.«

Han understreger, at lokaladmin-adgang som udgangspunkt betyder større muligheder for en angriber.

Åbent for hackeres svar på schweizerkniv

En af de trusler, man udsætter sig selv for er angreb med udbredte hackerværktøjer som Mimikatz, der udnytter et hul i Windows’ memory og på den måde kan tiltvinge sig adminstrator-rettigheder til angriberen.

Mimikatz betegnes af det Microsoft-specialiserede AD Security som hackerens svar på en schweizerkniv, et multitool, hvis man som hacker vil tilrane sig adgang til en windowsenhed.

Men har man ikke lokaladminadgang på enheden, ja så er Mimikatz næsten tandløs.

Udsættes konstant for angreb

Det bør i denne forbindelse bemærkes, at Region Syd selv i en pressemeddelelse til Version2 skriver, at ‘hackerangreb mod regionens systemer efterhånden er blevet hverdagskost’.

Driftschefen hos Region Syd, Flemming Brink, fortæller desuden, at regionens firewalls sorterer omkring 90 procent af alle indkommende mails fra som spam, og at firewallen får masser mindre angreb, den kan brænde af på daglig basis.

Derudover lykkes det faktisk hackere i mild grad at inficere nogle af regionens systemer med ransomware sidste år.

Så interessen for at komme indenfor i regionens systemer er til stede.

Flere løsninger

Derfor undrer det også Keld Norman, at man fra Region Syds side har valgt ikke at dæmme op for lokaladgangen til de mange enheder.

»Der findes mange løsninger derude, der ville fungere glimrende som en midlertidig løsning. Blandt andet er der programmer, der eksempelvis ville kunne give lægerne adminstrator-rettigheder fem minutter af gangen, før brugeren igen skulle logge sig ind,« lyder det fra sikkerhedseksperten.

På den måde ville man eliminere risikoen for, at malware udnytter lokaladmin-adgang og lægger sig end under systemet og gemmer sig og i al hemmelighed eksempelvis ødelægger en backup, inden den slår til.

Når det er sagt er der ifølge Keld Norman stadig mere og mere malware, der er ligeglad med lokaladmin-adgangen og som klarer sig nedslående godt uden.

Ikke desto mindre er der flere forskellige programmer, der for forholdsvis billige penge kan købes til netop at begrænse lokaladminadgangen, fortæller sikkerhedseksperten, der endnu engang understreger, at han ville bruge nogle af disse løsninger, hvis han var it-chef. om ikke andet så til de enheder, der aldrig har brug for admin-adgangen.

»For eksempel HR-afdelingen. Det er her, de fleste farlige dokumenter udefra lander første gang, men de har næppe brug for lokaladmin-adgang i deres daglige arbejde,« siger Keld Norman som eksempel.

Af hensyn til medarbejdere

Men når regionen har valgt at gøre som det er tilfældet, så er det ikke som udgangspunkt for at spare penge, men hovedsagelig af hensyn til arbejdsgangene på regionens hospitaler.

»Vi har jo en arbejdsgang, der skal fungere på sygehusene, siger driftschef Flemming Brink, der ikke ønsker at ‘skabe uro’, som han udtrykker det.

Han fortæller også, at man konkret oplever problemer med mange af de ældre systemer, der driver diverse hospitalsenheder. De fungerer simpelthen ikke til Windows10. Og før de kommer på plads, kan enheden der driver dem ikke opgraderes til Windows10. ‘App-porteføljen er simpelthen ikke klar endnu’, som Flemming Brink udtrykker det.

Derfor regner han med, at der vil gå et lille års tid mere, inden de sidste enheder er opdateret og sikret, og Flemming Brink tror, Region Syd vil være færdig med opdateringen inden næste sommerferie.

»Det tager blandt andet så lang tid, fordi der er så mange forskellige computere, der skal fungere med Windows 10, og de mange apps vi bruger har forskellige størrelser, forskellige udviklere og forskellig modenhed,« siger Flemming Brink.

Arbejder på flere fronter

Han fortæller desuden, at Region Syd generelt er i gang med en oprustning på sikkerheden. Man har oprettet et akut-team på fem mand, der er kla til at rykke ud, skulle Region Syds systemer blive angrebet.

Derudover har man investeret fem millioner ekstra i sikkerhed i år, der hovedsagelig er gået til en grundigere netværkssegmentering. Det svarer til et lille års it-sikkerhedsbudget i regionen.

Nogle af de ekstra penge skal også gå til, hvad Flemming Brink beskriver som en ‘sikker dropbox-løsning’.

»Vi er lige nu ved at finde en leverandør som et alternativ til, at vores medarbejdere bruger private dropboxløsninger. Altså til en firmaløsning, der er mere sikker, og som har styr på data,« fortæller Flemming Brink, der desuden oplyser, at Region Syd i skrivende stund har et system i test.

»Det bør også understreges, at vi generelt set overvåger al trafik ind og ud af vores systemer. Så selvom lokaladminstrator-adgangen tillader en medarbejder at installere et program, overvåger vi om det gør noget, et ikke skal,« lyder det fra Region Syds it-chef Morten Lundgaard.

25 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
25
31. august 2018 kl. 08:04

"Ikke desto mindre er der flere forskellige programmer, der for forholdsvis billige penge kan købes til netop at begrænse lokaladminadgangen, fortæller sikkerhedseksperten, der endnu engang understreger, at han ville bruge nogle af disse løsninger, hvis han var it-chef."

Kan nogen fortælle om hvilke programmer han henviser til ?

24
19. juli 2018 kl. 13:55

Synes det er yderst besynderligt at man vælger den tilgang. Hvorfor ikke reparere de huller og uhensigtsmæssige opsætninger man kan - det tager få uger. Naturligvis skal der laves en ny fin Win10 installation - men den bliver også usikkerover tid er jeg sikker på :). Man kommer altid til at adressere sikkerheds udfordringer løbende. Noget andet er at alle klienter kan "tale" sammen på alle porte selv om de intet har at tale om. Dårlig planlagt netværks opsætning eller er der grunde til det. Men mon ikke de har grunde til deres valg selv om det er virkelig svært at se logikken i.

23
18. juli 2018 kl. 18:47

Det ikke er domain users men NT AUTHORITY\Authenticated Users der er medlem af den lokale administratorgruppe, at brugerne som udgangspunkt ikke har adgang til fjernskrivebord og at LanmanServer/Server servicen er deaktiveret på klienterne?

I betragtning af at Authenticated Users på en maskine i et AD er effektivt det samme som Domain Users så er det det samme: når du bliver godkendt ved login havner du i Authenticated Users.

Det betyder meget lidt om RDP er aktiv eller ej for man misbruger den påloggede bruger til at instellere malwaren - via en mail eller en link på en hjemmeside.

22
18. juli 2018 kl. 17:42

Det ikke er domain users men NT AUTHORITY\Authenticated Users der er medlem af den lokale administratorgruppe, at brugerne som udgangspunkt ikke har adgang til fjernskrivebord og at LanmanServer/Server servicen er deaktiveret på klienterne?

21
18. juli 2018 kl. 17:18

Som det også fremgår (noget subtilt) af overskriften på mit indlæg, så svarer jeg på et indlæg der er væk nu.

Ja en del af V2 tåbelig håndtering af kommentatorsporet.
I stedet for at angive at indlæg er fjernet på grund af manglende overholdelse af debatregler. Så fjerner i normalt indlæg uden at kommentere det. Så det bare helt er pist væk, selv om det kan være del af en længere debat, som så pludselig bliver totalt uforståeligt.

Efter at john strand er smidt helt ud af debatten af v2, er det dog sjældent at hele kommentarer spor bliver fjernes, så lange og mange indlæg bliver totalt uforståeligt.

Hvis i alligevel fjerner indlæg på denne måde, så kan jeg dog stadig ikke forstår at i også skal skrive noget i debatten. Jeg formoder at i selv giver den "skyldige" direkte besked ?

20
18. juli 2018 kl. 15:23

F.eks. er HTTPS og kryptering mere undtagelsen end reglen, dvs alt fra sundheds data til de ansattes logins m.m. bevæger sig rundt i lokalnettet i klartekst.

Det virker som en udbredt (mis)forståelse, at hvis bare det er på lokalnettet, så behøver man ikke HTTPS. Har set flere kommunale systemer med persondata, hvor det er tilfældet.

Eller systemer med persondata som kan tilgås eksternt, og bare kræver brugernavn & password. Ingen to-faktor eller andre måder at holde øje med logins eller misbrug. Det koster jo penge, og de penge er brugt på systemet må man jo forstå. Suk.

19
Journalist -
18. juli 2018 kl. 13:28
Journalist

Hej Kim.

Send gerne mail til mlo@ing.dk med detaljer.

Mvh

17
18. juli 2018 kl. 12:49

Jeg mener ikke at have set "noget" som krævede admin adgang for daglig kørsel siden XP

Skulle ikke undre mig at det er gammel XP software, de stadigvæk bruger.

Men altså, det at folk har admin rettigheder, er bare en af de mange sindsyge ting jeg har set i forbindelse med sundheds IT.

F.eks. er HTTPS og kryptering mere undtagelsen end reglen, dvs alt fra sundheds data til de ansattes logins m.m. bevæger sig rundt i lokalnettet i klartekst.

16
18. juli 2018 kl. 11:50

I kan læse Henriks debatindlæg på google cache

Hård tone, men sandheden er ubehagelig.

Hvis man ser bort fra den lidt perfide tone, var det intet i vejen med det faglige niveau.

Tvært imod. Det var noget højere end danske Regioner og det redaktionen på Version2 præstere.

Han havde endda rettet journalistens slåfejl - dem har han ikke selv rettet endnu.

14
18. juli 2018 kl. 11:30

Jeg studsede også over tallet: jeg håber ikke, at det er for hele regionen, at budgettet er på 5 mio. kr., for det lyder godt nok som meget lidt for alle aktiviteter i hele Region Syddanmark.

13
18. juli 2018 kl. 11:25

Til Bjarne og andre:

Kigger man på det første indlæg af Mads Lorenzen, vil man se, at indlægget med den samme overskrift er forsvundet fra kommentarsporet ovenfor; der er altså kun de tre omtalte indlæg tilbage, som overholder reglerne.

12
18. juli 2018 kl. 11:22

Derudover har man investeret fem millioner ekstra i sikkerhed i år, der hovedsagelig er gået til en grundigere netværkssegmentering. Det svarer til et lille års it-sikkerhedsbudget i regionen.

Man kommer dæleme ikke langt med et IT sikkerhedsbudget på under 200 kr. pr. IT bruger pr. år... (5 mio. kroner vs. 27.000 brugere)

Når man ikke har et budget til IT sikkerhed, så giver det da meget god mening, at driftschefen forfalder til 'vi venter til vi er opgraderet til Windows 10' -rygsvømning... Og når de så har fået Windows 10 på alle maskiner, så skal de til at vælge alle sikkerhedsprodukterne til... og når det er gjort, så er der ikke noget tilbage på sikkerhedsbudgettet, i øvrigt.

10
18. juli 2018 kl. 10:39

@ Mads:

Tak for forklaringen og undskyld at jeg drog forkerte konklusioner! Det ville måske have lettet forståelsen hvis der havde været en reference til det relevante indlæg (navn, el.)

Fortsat god dag!

6
Journalist -
18. juli 2018 kl. 10:31
Journalist

Hej Poul. De ovenstående indlæg er ikke problematiske, men det er det indlæg, der nu er fjernet og som i første omgang affødte min kommentar.

Som det også fremgår (noget subtilt) af overskriften på mit indlæg, så svarer jeg på et indlæg der er væk nu.

Beklager, hvis det har skabt forvirring.

5
18. juli 2018 kl. 10:23

@Mads Lorenzen:

Er 100% enig i at debatreglerne skal overholdes, men kan du ikke lige forklare mig hvor i de 3 indlæg over din kommentar dette ikke er tilfældet.

Jeg kan i hvert fald ikke se at Anne-Marie eller Maciej skriver noget anstødeligt i deres indlæg.

Hvis du hentyder til Anne-Maries bemærkning om at "... som man driver fra Region Syddanmark, og som man i forvejen jævnligt lyver om mht, anonymitet ..." så synes jeg ikke du har ret, da de i flere tilfælde har løjet om anonymitet, mv. Så kan vi konkludere at man ikke længere må kalde en spade for en spade på V2?

Mvh, Poul

7
18. juli 2018 kl. 10:31

Poul Kristiansen:

Tak for dit forsvar - men jeg tror, at Mads Lorentzen hentyder til et indlæg, som nu er fjernet, og som var noget skrappere i tonen (selv om jeg i hovedtræk var enig i indholdet, så vidt jeg husker).

4
Journalist -
18. juli 2018 kl. 09:20
Journalist

Hej og tak for opmærksomheden.

Jeg vil opfordre jer til at holde den gode tone og generelt overholde Version2's debatregler, der blandt andet nævner, at 'debatindlæg skal holdes i en sober tone og på et fagligt niveau,' samt at personangreb ikke er tilladt.

Mvh og god sommer

3
18. juli 2018 kl. 07:49

...hvad det er som kræver admin adgang ? Jeg mener ikke at have set "noget" som krævede admin adgang for daglig kørsel siden XP, så som jeg ser det så er der noget galt med selve arbejdsgangene - og det vil sandsynligvis bare blive migreret over på Windows 10.

2
18. juli 2018 kl. 06:43

"»Vi vil hellere lave en langsigtet Windows 10-baseret løsning end lave en kortsigtet, midlertidig løsning. "

Gælder den begrundelse ift. GDPR?

1
18. juli 2018 kl. 06:41

Man må da ikke håbe, at noget af al den forskning i vore meget følsomme, tvangsindhentede sundhedsdata mm., som man driver fra Region Syddanmark, og som man i forvejen jævnligt lyver om mht, anonymitet, behandles på nogen af disse usikre maskiner?

Fromt, men naivt håb....