Ups! Folketing, ministerier og efterretningstjenester misser deadline for krav til it-sikkerhed

2. januar 2020 kl. 11:5313
Ups! Folketing, ministerier og efterretningstjenester misser deadline for krav til it-sikkerhed
Illustration: PathDoc / BigStock.
Krav om DNSSEC trådte i kraft ved årsskiftet. Men teknologien er ikke implementeret på en lang række centrale offentlige myndigheders websites.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Året starter ikke så godt for en del ministerier og myndigheder.

Fra 1. januar i år skal statslige myndigheder leve op til en stribe konkrete sikkerhedskrav. Til juli skal yderligere krav efterleves.

Det er vedtaget som led i den nationale strategi for cyber- og informationssikkerhed.

Hvad er DNSSEC?

  • DNSSEC er en sikkerhedsservice, som findes i DNS. Servicen er udviklet for at forhindre hackere i at ændre i navneserverprocessen og overtage kontrollen med et domænenavn.

  • DNSSEC kan også forklares som en række signerede koder på hvert trin i DNS-processen, fra rodserver til domænenavnets IP-adresse, der bliver sat data på for at sikre, at de er valide. Det er ikke en teknologi, der krypterer data, men DNSSEC kan afsløre, om den adresse, du besøger, er gyldig.

  • Ved at vælge DNSSEC på dit domænenavn kan du være sikker på, at den rigtige side bliver vist, når der bliver linket direkte til din hjemmeside, og når den direkte URL bliver brugt. Det sikrer dig, din virksomhed og beskytter de besøgende.
    Kilde: DK Hostmaster

De 20 krav, som fremsættes, har til formål at »beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware,« oplyste Center for Cybersikkerhed og Digitaliseringsstyrelsen i en fælles meddelelse i oktober.

Ekstra sikkerhedsservice

Kravene er oplistet på hjemmesiden Sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag, sammen med en række andre samarbejdspartnere.

Artiklen fortsætter efter annoncen

Disse partnere er blandt andet Center for Cybersikkerhed og Datatilsynet.

Her står der om DNSSEC:

»DNSSEC skal tilknyttes alle domænenavne tilhørende myndigheden. DNSSEC er en ekstra sikkerhedsservice, man kan tilknytte sit domænenavn. Med DNSSEC kan man være sikker på, at den rigtige side bliver vist, når der bliver linket til ens hjemmeside, og når den direkte URL-adresse bliver brugt. Klienter kan dermed kryptografisk stole på, at de tilgår det rette domæne. Skal være implementeret den: 1. januar 2020.«

Kan løses med et klik på en knap

Men en lang række offentlige myndigheder har misset denne deadline. Det gælder for:

  • Justitsministeriet
  • Forsvarsministeriet
  • Rigsrevisionen
  • Center for Cybersikkerhed
  • Forsvarets efterretningstjeneste
  • Politiets efterretningstjeneste
  • Folketinget

Det oplyser Henrik Schack, som står bag sitet status.dmarc.dk, der er en overbliksside i forhold til, hvordan det står til med DMARC-implementeringen i en række danske organisationer.

Ifølge Henrik Schack kan det ofte være så simpelt som at klikke på en knap i en webkonsol for at aktivere DNSSEC-teknologien.

På sitet dnssec-analyzer.verisignlabs.com kan man teste, om et domæne er omfattet af DNSSEC.

Version2 følger op på sagen.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
3. januar 2020 kl. 14:11

[https://www.ssllabs.com/ssltest/analyze.html?d=borger.dk&hideResults=on]

12
3. januar 2020 kl. 13:59

Det drejer sig om de to lagrede trediepartscookies, som ikke er session coocies, der forsvinder, når man forlader siden.

11
2. januar 2020 kl. 17:17

Er der nogen, der kan uddybe, hvad deres frygt er?

Teksten hos UnoEuro er baseret på hvordan DNSSEC virkede på .dk-domæner indtil for blot nogle måneder siden. DK Hostmaster har længe haft en ekstrem mangelfuld implementering af DNSSEC, fra et administrativt synspunkt. Nøgler blev ikke fjernet vel redelegering og (webhotel)udbydere kunne ikke styre DNSSEC på samme måde som man kan i dag. På daværende tidspunkt var det derfor slet ikke en god ide at aktivere DNSSEC på et .dk-domæne, hvis ikke man vidste præcis hvad det gik ud på. Der er sket meget siden da, selv om der stadig er mangler i en webhoteludbyders administrationsmuligheder hos DK Hostmaster (Vi kan f.eks. ikke blot fjerne DNSSEC nøgler på et domæne igen, noget de stadig arbejder på at tilbyde/løse). DK Hostmasters egen selvbetjening til DNSSEC er også noget forvirrende for en almindelig bruger, hvilket er problematisk når navneserveransvarlig ikke kan manage domænet fuldt ud og kunden derfor i situationer skal ind over.

Teksten hos UnoEuro er opdateret nu :)

10
2. januar 2020 kl. 16:21

Ligesom man kan teste DNSSEC-status for sit domæne på Verisigns testside, så kan man også teste DNSSEC Validation-status på ens resolver:https://dnssec.vs.uni-due.de/

Mit bud er, at de fleste vil opleve, at DNS-resolveren på deres arbejde ikke laver DNSSEC-validering, mens den i privaten gør (hvis man anvender den resolver, som ens ISP tildeler en).

8
2. januar 2020 kl. 16:10

Irrationel? ;-)

Ja UnoEuro er lidt specielle når det drejer sig om ting der foregår i DNS. De har også en mærkelig praksis med at give nye domæner en DMARC record med indholdet "v=DMARC1; p=none" hvilket giver præcis ingensomhelst mening :-)

7
2. januar 2020 kl. 16:00

Er der nogen, der kan uddybe, hvad deres frygt er?

Irrationel? ;-)

"Hvis DNSSEC ikke er opsat præcist korrekt på domænet" - så er det vel Unoeuros problem og så må de stramme sig an? Hvis de har styr på RFC 7344, så skulle selv KSK rollover være autoatiseret og så kan jeg ikke se, hvad der skulle kunne gå galt.

"eller brugerens DNS-resolver," - det er vel brugerens problem? Det eneste jeg kan komme i tanke om, som kan gå galt på resolversiden, er angivelsen af Trust Anchor og det er altså pænt svært at gå fejl af.

6
2. januar 2020 kl. 15:46

@Bjarne: Så vidt jeg kan se, slår https://www.cookiemetrix.com ud på, at sikkerdigital.dk ikke har et banner, som informerer om cookies. Men de har de altså, og cookie-anvendelsen er ydermere beskrevet i ret forståelig prosa på site'et uden at man skal lede længe.

5
2. januar 2020 kl. 15:31

[https://www.cookiemetrix.com/display-report/sikkerdigital.dk/ae2add77a027080398562f464aed91f3] sikkerdigital.dk overholder ikke EU's cookie regler.

4
2. januar 2020 kl. 15:23

[https://www.ssllabs.com/ssltest/analyze.html?d=sikkerdigital.dk&hideResults=on]

3
2. januar 2020 kl. 14:48

Min udbyder unoeuro tilbyder også 1 click-aktivering, men de fraråder at man aktiverer det.

Selv om DNSSEC lyder smart, kan det desværre også give anledning til problemer
Hvis DNSSEC ikke er opsat præcist korrekt på domænet eller brugerens DNS-resolver, vil domænet stoppe med at virke uden videre fejlbesked.</p>
<p>Når først DNSSEC er aktiveret er det ikke "bare lige" at slå fra igen, grundet lang DNS-cache på mange DNS-resolvere.</p>
<p>Vi anbefaler derfor IKKE, på nuværende tidspunkt, at aktivere DNSSEC.

Er der nogen, der kan uddybe, hvad deres frygt er?

2
2. januar 2020 kl. 13:51

Når I følger op på historien:

Hvis rette vedkommende siger, at det ikke blot er et spørgsmål om et flueben i en web-konsol: Hvorfor skifter de så ikke DNS-udbyder? Vi har for nylig set, hvordan danske one.com har gjort det nemt for DNS-kunder at blive DNSSEC-compliant (man skal intet gøre...). Jeg tænker, at der nok også er andre, som gør det nemt.

1
2. januar 2020 kl. 12:24

Touché, Henrik Schack og Version 2! Godt nytår :)