Refser danske etater for råtten IT-sikkerhet

Politi- og helsedata kan være sikret med passord fra 1990-tallet.

Refser danske etater for råtten IT-sikkerhet
Politiets IT-systemer og helsedata er elendig beskyttet i Danmark, slår den danske Rigsrevisjonen fast i en ny rapport. Bilde: digi.no

Noe er råttent i kongeriket Danmark. Men denne gang er det ikke arveprinsen Hamlet som fortviler over tingenes tilstand.

En fersk rapport avdekker alvorlige feil og mangler i adgangsbeskyttelsen til seks statlige IT-systemer.

Passord som ikke har vært byttet siden slutten av 1990-tallet er bare ett av flere eksempler, skriver den danske IT-publikasjonen Version2.

«Denne beretningen handler om hva en rekke statlige institusjoner gjør for å beskytte adgangen til IT-systemer og data, som understøtter samfunnsviktige oppgaver, via såkalte utvidede administratorrettigheter».

Slik åpner rapporten fra Rigsrevisionen, som har ført tilsyn med Energinet.dk, Banedanmark, National Sundheds-it, Statens IT, direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT.

Les også: Avslørte keyloggere i to auditorium

44 superbrukere

Rapporten fastslår at ingen av dem har byttet ikke-personlige passord årlig, og hovedvekten av de gjeldende passordene er opptil 7 år gamle. Enkelte passord har ikke vært skiftet ut siden slutten av 1990-tallet.

Virksomhetene refses for manglende styring og kontroll, særlig ved at de ikke i tilstrekkelig grad har begrenset tildelingen av administratorrettigheter i Windows Active Directory, noe de heller aldri skal ha gjort når IT-sjefen har sluttet i jobben.

Fem av de seks etatene gjennomgår heller ikke loggfiler regelmessig.

Én av virksomhetene hadde begrenset antallet superbrukere til 4 betrodde ansatte. De øvrige holder seg med mellom 8 og 44 superbrukere, noe Rigsrevisionen finner både urovekkende og klanderverdig.

Svake rutiner: Ingen av de seks etatene sørger for å bytte passord når betrodde IT-ansatte slutter. Bilde: Rigsrevisionen
De danske virksomhetene som slaktes har omtrent tilsvarende funksjon som norske Statnett, Jernbaneverket, Norsk Helsenett, Departementenes sikkerhets- og serviceorganisasjon (DSS), Kriminalomsorgsdirektoratet og Politidirektoratet.

Les også: Fengslet for å ha hacket det danske folkeregisteret

Kjører i blinde

Det blir ikke bedre av at ingen av de 6 følger med på, eller overvåker, avvik i sine respektive IT-miljøer.

Pålogging fra utlandet, uthenting av store datamengder eller at en superbruker logger seg inn på en server som vedkommende ikke har logget seg inn på før, eller ikke burde logge seg på i forbindelse med det daglige arbeidet, er forhold de ikke fanger opp, ifølge Version2.

- Dersom man ikke ser etter avvik, så er man blind. Og blinde IT-administratorer er ikke mye verdt. Man ville aldri oppdaget et angrep, med mindre det dukker opp på pc-skjermene som ransomware (utpressingsvare, der ofrene avkreves løsepenger for å låse opp innhold kryptert av skadevare, red.anm.), sier sikkerhetsekspert Peter Kruse ved CSIS Security Group til den danske avisen.

Les også: Politiet skal få big data-system med enorm kapasitet

Lover bedring

Den danske Rigsrevisionen frykter at tilstanden de har avdekket medfører risiko for spionasje og økte trusler fra kriminelle eller politisk motiverte hackere, men også ansatte som, bevisst eller ubevisst, begår sikkerhetsbrudd.

Samtidig finner de det «tilfredstillende» at samtlige etater lover bot og bedring.

- Intitusjonene har opplyst at de har gjennomført kompenserende tiltak og er i fred med å planlegge, iverksette og gjennomføre tiltak, som skal rette opp manglende, heter det i en uttalelse.

Også i Norge har Riksrevisjonen tidligere refset offentlig sektor for dårlig informasjonssikkerhet, blant annet da det i 2010 ble avslørt at statsråders og andre ansatte pc-er var blitt hacket, og et ukjent antall dokumenter fløt ut av nettverket. I kjølvannet måtte to direktører i DSS fratre sine stillinger.

Les denne: Aner ikke hva hackerne gjorde