Tilliten til datasikkerheten i regjeringskvartalet fikk seg en alvorlig knekk i forrige uke. Det samme gjorde omdømmet til de ansvarlige for skandalen.
PC-er var blitt hacket, utsatt for virusangrep og målrettet spionasje. Forholdene ble avdekket i en rapport i januar 2008, skrev Aftenposten.
Likevel valgte Departementenes servicesenter (DSS) og Fornyingsdepartementet (FAD) å holde datahullene skjult for resten av regjeringen. Riksrevisjonen avdekket senere det de mener er alvorlige brudd på IT-sikkerheten.
- Hvordan opplever fornyingsministeren selv denne saken?
- Vi har vært kjent med at det har vært problemer med datasikkerheten i regjeringen. Derfor ble det bevilget midler for å bedre situasjonen i budsjettet for 2008 og 2009. Det skal være en annen situasjon nå enn det mediene baserer seg på.
- Revisjonen går på fortid. Vi er oppatt av at fremtiden skal være bra. Det har også vært jobbet med gode internkontrollrutiner, sier statsråd Rigmor Aasrud til digi.no fredag ettermiddag.
Varsler gjennomgang
- Jeg har registrert at det i pressen nå er usikkerhet rundt situasjonen slik den er nå. Vi får opplyst at situasjonen er utbedret, men for at jeg skal være hundre prosent sikker har jeg bedt Nasjonal sikkerhetsmyndighet om å gjøre en gjennomgang med Departementenes servicesenter.
NSM skal altså granske sikkerheten i det ugraderte nettverket Depnett/U, som daglig benyttes til å sende blant annet 80.000 e-postmeldinger til 13 ulike ministre, samt 2.500 ansatte i regjeringskvartalet.
Gjennomgangen skal ifølge statsråden komme raskt, da hun ønsker å avdekke hva øyeblikksbildet for IT-sikkerheten er nå.
_logo.svg.png){kind=logo}
Ukjent omfang
- Vi gjorde denne undersøkelsen i 2007 fordi vi selv var usikre på om vi hadde tilstrekkelig kontroll, gitt de nye oppgavene vi fikk med å drifte 13 departementer på eget ugradert nettverk. Undersøkelsen avdekket jo også at det var svakheter i systemet. Det var noen den gangen som hadde infisert lokalt utstyr, sier direktør Ivar Gammelmo i Departementenes servicesenter til digi.no.
Aftenposten hevder at «flere hundre tusen dokumenter har strømmet ut fra regjeringens datanettverk». Men sannheten er at ingen vet hvilke konsekvenser regjeringens sikkerhetsproblemer fikk.
- Hva ble lekket av informasjon i forbindelse med hullene i nettverket?
- Det vet man ikke. Det er derfor ikke hold for å hevde at hundre tusenvis av dokumenter har forsvunnet. Ingen vet hva som eventuelt ble lekket av informasjon. I 2007 var det noen PC-er rundt omkring som kommuniserte mot IP-adresser som ifølge nasjonale sikkerhetsmyndigheter kunne representere en risiko, sier Gammelmo til digi.no.
Hvor alvorlig har dette egentlig vært?
- Situasjonen i 2007 var veldig uønsket. Da målte man og fant trafikk som ikke skulle være der. Derfor ble det også gjort tiltak. Etter at man gjorde fysiske tiltak i 2008 og 2009 har det vært noen tilfeller knyttet til bruk av minnepinner, men [forholdene] skal være mye bedre nå, sier fornyingsminister Aasrud.
Sikkerhetsarbeid blir man aldri ferdig med. Det er ministeren klar på.
- Det vil komme nye måter å angripe på. Dette er noe vi må jobbe med kontinuerlig. Vi får inn 200 millioner e-poster til departementet i måneden. 198,5 av dette er spam som blir tatt av førsteforsvaret vårt, men tallene viser at det er en betydelig mengde uønsket e-post som kommer inn.
digi.no har forsøkt å få tilgang på den snart tre år gamle sikkerhetsrapporten, som Aftenposten omtalte i forrige uke. Men rapporten er fortsatt gradert hemmelig, og det vil den fortsatt være.
- Det er en del opplysninger der som det ville være svært uheldig om vi la ut i full offentlighet, fordi det ville avdekket hvor sårbare vi har vært, sier Aasrud.
Er FAD kjent med hvilke konsekvenser de hackede PC-ene i departementene fikk? Vet dere om informasjon har kommet på avveie?
- Det er så langt jeg er kjent med ikke identifisert at det har vært dokumenter som har vært misbrukt på den tiden, men dette var før min tid i statsrådsstolen.
Som ansvarlig for fornyingsdepartementet har du blitt sterkt kritisert for manglende styring av Riksrevisjonen. Synes du selv kritikken er rimelig?
- Når Riksrevisjonen kommer med sine anmerkninger skal man ta det til etterretning. Jeg er opptatt av at Riksrevisjonens merknader i stor grad var sammenfallende med det som tidligere er avdekket av DSS, og at vi må forsikre oss om at vi retter de svakhetene som er oppdaget i rapportene. Derfor har jeg bedt om ekstern hjelp for å vurdere om vi har gjort nok.
- Fornyelse av offentlig sektor, IT-politikk, Kirken, offentlig arbeidsgiverpolitikk, samespørsmål: Du har svært mange hatter i regjeringen. Har statsråden tid til å følge opp alle områdene så godt som du ønsker?
- Det er mange departementer som har en mer entydig portefølje, men det betyr ikke at de er mer arbeidskrevende. Jeg tror fordelingen er godt fundert av statsministeren når han fordelte oppgavene.
- Mur av taushet
Utfordringen med IT-sikkerhet er tredelt, mener ekspert på området, Stein Møllerhaug i Steria.
- Mennesker, organisasjon og teknologi. Utfordringen er å få disse tre tingene å spille sammen. Det hjelper ikke at organisasjonene har regler som forbyr trådløse nettverk, hvis ansatte likevel setter dette opp, sier han.
Møllerhaug er ikke overrasket over at de politiske myndighetene i Norge har vært utsatt for målrettede dataangrep. - Det er en del av trusselbildet, sier han.
Derimot savner han informasjon. Det er ikke redegjort for hva som er lekket av informasjon og hvilke konsekvenser det har.
- Det er en mur av taushet rundt dette. Man ønsker i prinsippet ikke dette offentliggjort, sier Møllerhaug.
Han mener det har sin naturlige forklaring:
- Tenk hva som skjer hvis noen går på radio og sier det er gratis bensin på Majorstua på grunn av feil på en pumpe. Tenk hvilken trafikkort det ville medført. Det er veldig forståelig at man ikke ønsker fokus på datalekkasjer i regjeringskvartalet. Det som er viktig er om det blir jobbet med dette, eller om det bare blir dysset ned.
Les også:
- [23.01.2013] Ikke lenger pill råtten IT-sikkerhet?
- [18.01.2012] Hvem har ansvaret hvis det smeller?
- [19.05.2011] Skadevaren var ukjent
- [19.05.2011] Forsvaret rammet av dataangrep
- [06.01.2011] - Regjeringen lyver om IT-sikkerhet
- [07.12.2010] Dårlig IT-sikkerhet feller DSS-direktør
- [26.11.2010] Alvorlig dataangrep mot regjeringen
- [29.10.2010] FAD har svakt omdømme
- [22.10.2010] Datasikkerhet og annen usikkerhet
- [22.10.2010] - Regjeringens datarot en skandale
- [21.10.2010] Holdt tett om dataangrep mot regjeringen
- [19.10.2010] Slakter regjeringens IT-sikkerhet
