Word-sårbarhed uden it-alarm i det offentlige

De aktuelle sårbarheder i teksbehandlingsprogrammet Word giver ikke anledning til ekstraordinære tiltag fra statens IT-Sikkerhedspanel. Koncern IT overvejer dog en ekstraordinær orientering.

Selv om Microsoft har advaret e-mailbrugere mod at åbne vedhæftede Word-dokumenter finder IT-sikkerhedspanel under Videnskabsministeriet ikke anledning til at oplyse borgerne nærmere om den aktuelle trussel.

»Som vi er orienteret, er Microsoft i gang med at løse problemet, og vi vurderer ikke, at der er behov for et ekstraordinært møde om at gøre noget specielt lige nu,« siger panelets formand advokat Hanne Bender.

»Vores anbefaling ligger helt klart til alle, at man skal være forsigtig med at åbne vedhæftede filer, hvilket også er i overensstemmelse med de retningslinier, som der er publiceret i 10 gode råd om it-sikkerhed,« siger hun.

Ingen alarm

Selv om Microsoft endnu ikke er kommet med en rettelse til programmet, er der efter panelformandens opfattelse ikke noget, der tyder på, at problemet er større nu end ellers.

»Indtil nu er der os bekendt ikke kommet den ondsindede word-fil, der kunne aktivere det her, og vi må formode, at antivirusleverandørerne får opdateret deres produkter, så snart det sker«, siger Hanne Bender.

En del af IT-Sikkerhedspanelets kommissorium er at rådgive Videnskabsministeriet i forbindelse med statens it-sikkerhed, men trods de statslige institutioner dagligt modtager vedhæftede word-filer fra ukendte afsendere, giver det ikke grund til øget opmærksomhed på sikkerhedshullerne.

»Ikke specielt det her. Der er ikke noget i det her, der er mere kritisk, end de øvrige ting vi har set, men kommer der noget, er det klart, at vi vil tage det op og overveje det igen«, siger Hanne Bender.

Overvejer orientering

Heller ikke Videnskabsministeriet har taget initiativ til at orientere de øvrige ministerier om den aktuelle fare, men i Koncern IT, der er it-serviceleverandør for en række ministerier, har henvendelser fra brugerne sendt it-chef Martin Stald i tænkeboksen, om situationen kræver en ekstraordinær orientering.

»Det er under overvejelse, om vi skal minde om de regler, som fremgår at ministeriets it-adfærdspolitik. Når der kommer en henvendelse fra en af vores brugere, forholder vi os til den aktuelle sikkerhedsrisiko«, siger han.

Koncern-IT er i øjeblikket i gang med at finde ud af, om Koncern IT's egne virusfiltre kan dæmme op for angreb.

»Vi har vores løbende overvågning, men det er klart, at i disse dage er vi mere opmærksomme, men vi har ikke meldt noget ud til brugerne. Vi vil først vurdere om truslen er så stor, at vi skal gøre noget«, siger Martin Stald.

Microsoft har endnu ikke fremskaffet en rettelse til fejlen, men oplyser på deres sikkerhedsblog, at de stadig arbejder ihærdigt på at finde en løsning. Microsoft i Danmark oplyser, at der kun har været tale om meget få angreb, og at der ikke har været registreret Word-angreb her i landet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Adam Tulinius

Fed holdning at have; "de andre fikser det nok på et tidspunkt, og jeg tror ikke selv der sker noget indtil da.. så vi fortsætter bare som altid". Det er lidt ligesom at lukke øjne og ører, og lade som om alt er godt.

Jeg synes det stinker langt væk af inkompetence at man ikke tager den slags seriøst.

  • 0
  • 0
#4 Poul-Henning Kamp Blogger

Det jeg synes er bemærkelsesværdigt er at Microsoft aldrig før har lavet en advarsel af denne type.

Normalt sidder Microsoft med kortene helt tæt ind til kroppen, indtil de har et fix.

Men denne gang går de ud og siger "Der er et alvorligt problem, vi har ingen løsning endnu, lad være med at bruge Word"

Jeg hved ikke hvad der har fået microsoft til at reagere på den måde, men så atypisk som opførslen er, ville jeg have taget sagen betydeligt mere alvorligt.

Poul-Henning

  • 0
  • 0
#5 Bent Vistoft

Måske Adam og Flemming kunne komme med et par forslag til hvad IT-Sikkerhedspanelet burde have gjort/anbefalet, nu hvor de har lugtet de inkompetente advokater?

Så vidt jeg kan se har IT-Sikkerhedspanelet anlagt en risiko-vurdering, ganske ligesom vi andre gør på daglig basis hvad enten man skal over vejen eller vurdere risikoen ved at Lone ind imellem lader ungerne gå på internettet når hun har arbejdspcen med hjem.

Det, som vi selv har gjort i det firma jeg arbejder for, er at minde vores brugere om hvordan man kan kombinere sund fornuft og IT. Vi kunne også have valgt at skynde os at bruge juleferien til at udskifte alle 3000 Windows/Office-pcer med et andet OS og et andet Office-kompatibelt stykke software og lægge firmaet dødt januar-februar, mens brugerne blev oplært og IT-afdelingen fik tilpasset alle systemerne, men det valgte vi så ikke at gøre denne gang.

Og mon ikke Poul-Henning har hørt om analogien mellem en IT-afdeling og en svømmende svane: På overfladen fred og ingen fare, men nedenunder...

  • Bent
  • 0
  • 0
#6 Poul-Henning Kamp Blogger
  1. Omkring Windows 95 burde man have indset at Microsoft strammede grebet og have lagt en IT-strategi der modarbejdede denne tendens.

  2. Da OpenOffice begyndte at blive et reelt alternativ til MS-Office skulle man have lavet en nødplan hvor hele firmaet med kort varsel kunne skifte over når der skete noget i den her klasse.

  3. Nu skal man sende en email til sit folketingsmedlem/parti/etc og forklare at det der med åbne standarder faktisk er vigtigt og at de skal se at få fingeren ud.

Og hvis man ikke har gjort det ovenstående og har titel af "CIO" så er man inkompetent til jobbet.

Poul-Henning

  • 0
  • 0
Log ind eller Opret konto for at kommentere