SIKKERHET

Stortinget og SMK kjører ikke tiltak som er anbefalt siden 2018: – Angripere kan lage massivt kaos

Statsministerens kontor har ikke aktivert sikkerhetstiltakene DMARC og DNSSEC.

Statsminister Jonas Gahr Støre (Ap) holdt pressekonferanse på Statsministerens kontor da han tok over stafettpinnen i oktober.
Statsminister Jonas Gahr Støre (Ap) holdt pressekonferanse på Statsministerens kontor da han tok over stafettpinnen i oktober. Foto: Håkon Mosvold Larsen/NTB Scampix
4. nov. 2021 - 10:00

Uten disse sikkerhetstiltakene kan hvem som helst utgi seg for å være en statssekretær i en e-post og øke sannsynligheten for både dataangrep og svindel. Det skriver NRK.

– Med svakhetene som ligger her i disse 59 domenene, kan en angriper forårsake massivt kaos, sier Per Thorsheim, som er sikkerhetssjef i Vipps. 

Store mangler

Thorsheim har gått gjennom hvilke sikringstiltak statlige organisasjoner har implementert på sine nettsider. Undersøkelsen viser at 21 offentlige organisasjoner mangler DNSSEC, 14 mangler DMARC, 4 mangler SPF, og 41 mangler tofaktoradministrasjon av domenenavnserverne (DNS).

Thorsheim kritiserer både Stortinget og Statsministerens kontor for dårlig sikkerhet. 

Mens DMARC er en e-postgodkjenningsprotokoll som er utviklet for å gi domeneeiere muligheten til å beskytte egne brukere mot uautorisert bruk, er DNSSEC en sikkerhetsmekanisme som legges i domenenavnsystemet. 

Skrudd av midlertidig

Mekanismen sørger for at alle forespørsler mot domenetoppslaget signeres og på den måten verifiserer at dataene som overføres kommer fra riktig kilde og ikke er endret underveis. 

Digitaliseringsdirektoratet og Nasjonal sikkerhetsmyndighet har anbefalt å bruke tiltakene siden 2018.

Kommunikasjonssjef Anne Kristin Hjukse ved Statsministerens kontor (SMK) sier at de er svært opptatt av sikkerheten og jobber for å forbedre den i alle ledd. 

Ifølge henne har SMK hatt noen tekniske utfordringer som har sørget for at DMARC er skrudd av midlertidig. Departementenes sikkerhets- og serviceorganisasjon jobber nå med å innføre DNSSEC, skriver NRK.

– Vi vil se nærmere på innspillene og undersøkelsene som Per Thorsheim har gjort og vurdere ytterligere tiltak, sier stortingsdirektør Marianne Andreassen til NRK.

Dobbelt så mange hendelser

I 2021 har det blitt registrert tre ganger så mange alvorlige hendelser hos Nasjonal cybersikkerhetssenter som i 2020. Nasjonal sikkerhetsmyndighet (NSM) la i slutten av oktober fram rapporten «Nasjonalt digitalt risikobilde 2021». 

Der skriver NSM at de har sett et taktskifte innen digital risiko i Norge.

– Samtidig utføres komplekse spionasjeaksjoner mot norske mål og der våre viktigste verdier forvaltes, sa direktør Sofie Nystrøm i NSM da rapporten ble lagt frem. 

Norge står overfor et komplekst digitalt risikobilde der statlige og kriminelle aktører forsøker å utnytte sårbarheter i funksjoner, virksomheter og systemer ved bruk av et bredt utvalg digitale virkemidler, heter det.

Stortinget angrepet

Det har også vært en betydelig økning i hendelser knyttet til krypteringsvirus og økonomisk motivert kriminalitet, ifølge NSM.

Både i 2020 og i 2021 ble Stortinget utsatt for dataangrep, og i begge tilfeller har data blitt hentet ut. Regjeringen har pekt på at henholdsvis Russland og Kina stod bak.

vår kom det frem at Stortinget under det første angrepet i 2020 ikke hadde slått på obligatorisk tofaktorautentisering for å logge seg på Stortingets e-postkontoer.

Rapporten viste også at overgangen til dette først ble påbegynt fire måneder etter det første angrepet, og flere ansattgrupper på Stortinget manglet fortsatt sikringsmekanismen da det nye dataangrepet ble utført. 

Stoppet revisjon av IT-sikkerheten

Etter det første angrepet kom PST frem til at datainnbruddet mot Stortinget kunne vært avverget dersom representantene hadde brukt multifaktorautentisering.

I 2017 ble en revisjon av IT-sikkerheten i Stortinget stoppet.  

Partner Vebjørn Søndersrød i advokatfirmaet Ræder sa til Digi.no i begynnelsen av oktober at revisjonen kunne ledet til krav om forbedringer i sikkerheten.

– En gjennomført revisjon kunne ha ledet til at Stortinget skjerpet sikkerhetstiltak og kunne ha unngått, eller i alle fall redusert konsekvensene av, både 2020-angrepet og 2021-angrepet. Dette fremstår som sannsynlig, sa han.

Anders Aagard Sørby kommer rett fra arbeidet med å opprette en ny organisasjon som leverer IT-tjenester til nye Akershus, Buskerud og Østfold.
Les også

Skal lede statens nye IT-enhet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra