Hackerkonsulent: Statsinstitutioner har en umoden tilgang til it-sikkerhed

Flere statslige institutioner er sårbare over for den type angreb, der i sommer kostede Mærsk 1,9 milliarder kroner.

Locky, WannaCry, NotPetya er navne på såkaldte ransomware-angreb, der har ramt myndigheder og virksomheder i både Danmark og udlandet. Hackerangrebene har blandt andet betydet lukning af brugerkonti i Region Syddanmark, aflyste operationer på sygehuse i Storbritannien og milliardtab i en virksomhed som A. P. Møller - Mærsk. (Foto: Steve Marcus © Scanpix)

Sundhedsdatastyrelsen, Udenrigsministeriet, Banedanmark og Beredskabsstyrelsen er for dårlige til at beskytte sig mod hackerangreb, der kan føre til økonomisk afpresning.

Det viser en undersøgelse, som Rigsrevisionen har gennemført blandt de fire statslige institutioner for at se, om de lever op til Center for Cybersikkerheds 20 anbefalinger.

- Statsrevisorerne bemærker, at forebyggelsen af ransomwareangreb ikke er tilstrækkelig, og at ingen af institutionerne fuldt ud har sikret, at alle deres programmer har de nyeste sikkerhedsopdateringer, lyder kritikken blandt andet.

Etisk hacker: For let for cyberkriminelle

Hos it-konsulentvirksomheden NNIT siger Christian Dinesen, der er ansat som såkaldt 'etisk hacker' i afdelingen Cyber Defence Center, at de cyberkriminelle har alt for let spil over for de undersøgte fire myndigheder.

- Det er kritisk, fordi de alle har vigtige funktioner i vores samfund. Det, som Rigsrevisionen påpeger, viser desværre en umodenhed, som ses andre steder også. Specielt lokale administratorrettigheder og manglende opdateringer har ellers været et fokuspunkt de sidste 15 år, siger han.

Overordnet set er det ikke svært at rette op på de punkter, som rapporten kritiserer, fortæller han. Og det kan blive dyrt at lade være.

- Konsekvensen er en ransomware-hændelse, der vil ramme statsinstitutionerne hårdt og hæmme deres evne til at operere. I en krigstilstand til det være det første, en modstander vil gøre, siger han.

Banedanmark: Vi retter ind

Banedanmark er den af de fire statsinstitutioner, der har flest anmærkninger i undersøgelsen. Her siger økonomidirektør Peter Jonassen, at man tager Rigsrevisionens kritik til efterretning.

- Der skal selvfølgelig være styr på it-sikkerhed, og det er vi meget optaget af i Banedanmark. Allerede før Rigsrevisionens rapport gik vi i gang med det store arbejde at implementere EU’s persondataforordning, som har fokus på nye it-sikkerhedspolitiske tiltag, siger han.

Thomas Fænø Hansen, der er it-chef i Banedanmark, fastslår, at de sikkerhedsbrister, som statsrevisorerne kritiserer, ikke har noget at gøre med driften af tog eller trafikstyring.

- Styringen af S-togstrafikken kører eksempelvis på et helt separat og lukket netværk. Rapporten omhandler alene ransomware, hvor enkelte eller flere medarbejdere ikke kan udføre deres arbejde via deres computer, siger han.

Thomas Fænø Hansen oplyser, at Banedanmark indtil videre har undgået ransomwareangreb.

- Vi har haft dog oplevet forsøg på hackerangreb, men de har været meget små, og de er blevet håndteret korrekt og tilfredsstillende, og uden det har gjort nogen skade.

Problemer med at genskabe data

Ud af 20 anbefalede beskyttelsestiltag har Sundhedsdatastyrelsen forsømt at opfylde fem tiltag - det drejer sig for eksempel om at benytte såkaldt 2-faktor login ved webmail.

Det betyder, at en hacker med en kendt mailadresse eller et brugernavn kan få held til at bryde ind i en ansats webmail ved at gætte adgangskoden. Samtidig har styrelsen ikke gjort nok for at forhindre brugen af private e-mailløsninger.

Udenrigsministeriet har også forsømt fem tiltag - eksempelvis ved at undlade at gennemføre systematiske test til at genetablere systemer og data.

Banedanmark har svigtet på otte områder - for eksempel ved ikke at følge op på awareness-aktiviteter og ved ikke at sikre, at der kun bliver tildelt lokaladministrative rettigheder, hvis man har et arbejdsbetinget behov.

Ransomware lammer myndigheder og virksomheder

Cyberangreb mod statslige institutioner – og særligt truslen fra såkaldte ransomwareangreb – er meget aktuel.

Ransomware er skadelige programmer, der forhindrer adgang til data, blandt andet ved, at data bliver krypteret, så den ramte institution ikke kan anvende dem.

Manglende tilgængelighed af data kan forhindre eller besværliggøre varetagelsen af vigtige samfundsmæssige funktioner.

Eksempelvis måtte det britiske sundhedsvæsen i 2017 aflyse operationer af eller konsultationer med ca. 19.000 patienter som følge af et ransomwareangreb.

Region Syddanmark har i to tilfælde i foråret 2017 været ramt af ransomware-varianten Locky, der har låst for enkelte brugeres adgang til systemet og afdelingsdrev.

I sommer var A. P. Møller - Mærsk end af de virksomheder, der blev lammet af NotPetya/Petya hackerangrebet, der endte med at koste rederikoncernen omkring 1,9 milliarder kroner.