Tietoevry mener det siste angrepet på Stortinget kunne vært unngått.
Sikkerhetsekspert Marius Sandbu sier til digi.no at det er liten tvil om at utviklingen av alle de ulike Exchange-versjonene ikke har høyeste prioritet hos IT-giganten.
– Ser vi på produktutviklingen er det ingen tvil om at skytjenestene er førsteprioritet. Microsoft bruker et milliardbeløp årlig på å utvikle sikkerhet, funksjonalitet og sikkerhetstjenestene i Azure og Microsoft 365.
– Exchange-sårbarheten rammet versjoner helt tilbake til 2013. Å vedlikeholde en så stor produktportefølje er svært vanskelig, og når de først utbedrer sårbarheter, er det veldig lett å introduser nye utfordringer. Derfor må være sikker på at oppdateringene som kommer ikke introduserer nye sårbarheter, sier Sandbu.
Ingen tekniske utfordringer
Han sier det ikke finnes tvil om på at det siste angrepet på Stortinget kunne vært unngått om eposthåndteringen ble lagt til nettskyen.
Sandbu sier at epostløsningene til Microsoft som tilbys gjennom Azure ikke var rammet av de fire sårbarhetene CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, og CVE-2021-27065 som rammet Exchange server 2013, Exchange server 2016 og Exchange server 2019.
Ifølge Tietoevrys egne tall finnes det over 2000 virksomheter som drifter egne epostservere i Norge basert på denne serverprogramvaren. Sandbu mener det ikke finnes noen tekniske utfordringer som hindrer Stortinget å gå ut i nettskyen med epostsystemene sine.
Han mener det handler om en modningsprosess fra et organisasjonsperspektiv. Om Stortinget hadde flyttet epostløsningene ut i nettskyen ville det gitt dem bedre sikkerhet, samtidig som det vil være enklere å sette opp tilgangskontroll som står i bedre stil med tidsånden, mener sikkerhetseksperten.
Tilgangskontroll
Sandbu mener tiltak som tilgangskontrollen basert på IP-adresser, bruksmønstre, geografisk område, og hvilke enheter som får benyttes til innlogging kan styres bedre i administrasjonsløsningene som er tilgjengelige i Azure.
Om en innlogging skjer fra et nytt geografisk område uten at dette er forhåndsgodkjent, kan innloggingen avvises, forteller Sandbu.
– Å gå i nettskyen med epostløsningene ville vært et stort løft for hele Stortinget. Ja, man trenger kompetanse for å forvalte og drifte disse løsningene også, men det gjør man uavhengig om tjenestene kjører i nettskyen eller ikke, konkluderer Sandbu som mener sikkerheten må bygges i lag, og at det er viktig å ha en god miks av tiltak og sikkerhetsløsninger som benyttes.
Lånekassen er en av flere offentlige virksomheter som har tatt driften sin ut i nettskyen de siste årene. Siden 2012 har de jobbet med å flytte programporteføljen sin ut i Microsofts Azure.
Lånekassen er i Azure
I dag kjører de Microsoft 365 resten av kjerneløsningene i Microsofts skyunivers. Der utnytter de mye av funksjonaliteten som kan leveres, og får hjelp av tredjepartsleverandører med drift, forvaltning og overvåkning.
– Da vi valgte å gjøre dette var det forankret i et sikkerhetsmessig ståsted. Vi mente driften ville få et sikkerhetsmessig løft av å flytte tjenestene ut i skyen, sier informasjonssikkerhetsleder Tommy Molnes i Lånekassen til digi.no og fortsetter:
– Samtidig har Lånekassen fått et større mulighetsrom til å kontinuerlig drive innovasjon på tjenestene våre.
I forkant av skyreisen ble det gjort store risikoanalyser med hjelp fra blant annet NSM og Digitaliseringdirektoratet. Det var også viktig for Lånekassen å forstå hvordan tjenestene produseres og leveres.
Derfor besøkte de Microsofts datasentre i Dublin for å få en bedre forståelse av hvordan løsningene forvaltes av IT-giganten.
– Ingen showstoppere
I tillegg ble alt lovgrunnlag og alle standardavtaler gjennomgått for å vurdere lovligheten fra et personvernsmessing hensyn.
– Konklusjonen av alle disse vurderingene var at det ikke var noen showstoppere som hindret oss i å bruke denne type tjenester. Men noen problemstillinger var det. Spesielt var det viktig å få kontroll på arkivloven som sier at alle arkiver skal ligge geografisk i Norge. Det var allikevel bare små justeringer som måtte til for at vi skulle følge norsk lovverk, sier Molnes.
Siden Lånekassen flyttet epostløsningene ut i nettskyen har de ikke hatt noen uønskede hendelser annet enn den daglige dosen med phishingforsøk alle virksomheter opplever.
Informasjonssikkerhetsleder sier at skyleverandøren er sertifisert på det som kan krype og gå av sikkerhetsstandarder, og at det derfor skal godt gjøres å ikke kunne ivareta beste praksis
– Det er komplekse vurderinger som må gjøres i forkant av en slik flytt, og jeg tenker at man må se an virksomheten etter hvilken funksjon og virke de har i samfunnet for øvrig. Min vurdering er at spesielt den teknologiske, men også den overordnede risikoen i Lånekassen har blitt mye mindre etter at tjenestene ble flyttet ut i nettskyen, sammenfatter han.
Stortinget vurderer Microsoft Exchange Online
Stortingets direktør, Marianne Andreassen, ønsker ikke å gå inn i en diskusjon om Stortinget bør ha flere skybaserte løsninger.
– Stortinget har i dag skyløsninger på flere områder og det foreligger planer for mulig migrering til Microsoft Exchange Online, sier Andreassen til digi.no.
Hun sier at siden Exchange-angrepet bunnet ut i null-dagssårbarheter, var det dermed ikke noen de kunne ha gjort for å avverge angrepet.
Ifølge Stortingsdirektøren legger de stor vekt på å ivareta IT-sikkerheten i et stadig mer krevende trusselbilde. Hun sier at Stortinget gjør løpende risikovurderinger og setter inn tiltak fortløpende med bakgrunn i disse.
– Analysearbeidet knyttet til IT-angrepet pågår fortsatt, og vil gi oss mer informasjon om angrepet, sier Andreassen til digi.no.
Hun mener den generelle IT-sikkerheten på Stortinget er svært god.
Ifølge henne jobber Stortinget kontinuerlig med å bevisstgjøre stortingsrepresentanter og ansatte i partigrupper og administrasjonen om risikobildet som hele tiden er i endring.
– I lys av dette IT-angrepet er vi opptatt av å lære, slik at vi blir bedre rustet til å møte det stadig mer krevende trusselbildet som møter oss, sammenfatter hun.
