Ups! Folketing, ministerier og efterretningstjenester misser deadline for krav til it-sikkerhed

Illustration: PathDoc / BigStock
Krav om DNSSEC trådte i kraft ved årsskiftet. Men teknologien er ikke implementeret på en lang række centrale offentlige myndigheders websites.

Året starter ikke så godt for en del ministerier og myndigheder.

Fra 1. januar i år skal statslige myndigheder leve op til en stribe konkrete sikkerhedskrav. Til juli skal yderligere krav efterleves.

Det er vedtaget som led i den nationale strategi for cyber- og informationssikkerhed.

De 20 krav, som fremsættes, har til formål at »beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware,« oplyste Center for Cybersikkerhed og Digitaliseringsstyrelsen i en fælles meddelelse i oktober.

Læs også: Flash er ude og DMARC er inde: 20 sikkerhedskrav rammer de statslige myndigheder

Ekstra sikkerhedsservice

Kravene er oplistet på hjemmesiden Sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag, sammen med en række andre samarbejdspartnere.

Disse partnere er blandt andet Center for Cybersikkerhed og Datatilsynet.

Her står der om DNSSEC:

»DNSSEC skal tilknyttes alle domænenavne tilhørende myndigheden. DNSSEC er en ekstra sikkerhedsservice, man kan tilknytte sit domænenavn. Med DNSSEC kan man være sikker på, at den rigtige side bliver vist, når der bliver linket til ens hjemmeside, og når den direkte URL-adresse bliver brugt. Klienter kan dermed kryptografisk stole på, at de tilgår det rette domæne. Skal være implementeret den: 1. januar 2020.«

Kan løses med et klik på en knap

Men en lang række offentlige myndigheder har misset denne deadline. Det gælder for:

  • Justitsministeriet
  • Forsvarsministeriet
  • Rigsrevisionen
  • Center for Cybersikkerhed
  • Forsvarets efterretningstjeneste
  • Politiets efterretningstjeneste
  • Folketinget

Det oplyser Henrik Schack, som står bag sitet status.dmarc.dk, der er en overbliksside i forhold til, hvordan det står til med DMARC-implementeringen i en række danske organisationer.

Ifølge Henrik Schack kan det ofte være så simpelt som at klikke på en knap i en webkonsol for at aktivere DNSSEC-teknologien.

På sitet dnssec-analyzer.verisignlabs.com kan man teste, om et domæne er omfattet af DNSSEC.

Version2 følger op på sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Troels Arvin

Når I følger op på historien:

Hvis rette vedkommende siger, at det ikke blot er et spørgsmål om et flueben i en web-konsol: Hvorfor skifter de så ikke DNS-udbyder? Vi har for nylig set, hvordan danske one.com har gjort det nemt for DNS-kunder at blive DNSSEC-compliant (man skal intet gøre...). Jeg tænker, at der nok også er andre, som gør det nemt.

  • 4
  • 0
Palle Due Larsen

Min udbyder unoeuro tilbyder også 1 click-aktivering, men de fraråder at man aktiverer det.

Selv om DNSSEC lyder smart, kan det desværre også give anledning til problemer
Hvis DNSSEC ikke er opsat præcist korrekt på domænet eller brugerens DNS-resolver, vil domænet stoppe med at virke uden videre fejlbesked.

Når først DNSSEC er aktiveret er det ikke "bare lige" at slå fra igen, grundet lang DNS-cache på mange DNS-resolvere.

Vi anbefaler derfor IKKE, på nuværende tidspunkt, at aktivere DNSSEC.

Er der nogen, der kan uddybe, hvad deres frygt er?

  • 2
  • 0
Uffe R. B. Andersen

Er der nogen, der kan uddybe, hvad deres frygt er?

Irrationel? ;-)

"Hvis DNSSEC ikke er opsat præcist korrekt på domænet" - så er det vel Unoeuros problem og så må de stramme sig an? Hvis de har styr på RFC 7344, så skulle selv KSK rollover være autoatiseret og så kan jeg ikke se, hvad der skulle kunne gå galt.

"eller brugerens DNS-resolver," - det er vel brugerens problem? Det eneste jeg kan komme i tanke om, som kan gå galt på resolversiden, er angivelsen af Trust Anchor og det er altså pænt svært at gå fejl af.

  • 6
  • 1
Tom Sommer

Er der nogen, der kan uddybe, hvad deres frygt er?

Teksten hos UnoEuro er baseret på hvordan DNSSEC virkede på .dk-domæner indtil for blot nogle måneder siden. DK Hostmaster har længe haft en ekstrem mangelfuld implementering af DNSSEC, fra et administrativt synspunkt. Nøgler blev ikke fjernet vel redelegering og (webhotel)udbydere kunne ikke styre DNSSEC på samme måde som man kan i dag.
På daværende tidspunkt var det derfor slet ikke en god ide at aktivere DNSSEC på et .dk-domæne, hvis ikke man vidste præcis hvad det gik ud på. Der er sket meget siden da, selv om der stadig er mangler i en webhoteludbyders administrationsmuligheder hos DK Hostmaster (Vi kan f.eks. ikke blot fjerne DNSSEC nøgler på et domæne igen, noget de stadig arbejder på at tilbyde/løse). DK Hostmasters egen selvbetjening til DNSSEC er også noget forvirrende for en almindelig bruger, hvilket er problematisk når navneserveransvarlig ikke kan manage domænet fuldt ud og kunden derfor i situationer skal ind over.

Teksten hos UnoEuro er opdateret nu :)

  • 12
  • 0
Log ind eller Opret konto for at kommentere